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让 


随 着 微 电 子 技术 、 计算机 技术 、 网 络 技术 、 通信 技 本. 多 媒体 技 
术 等 高 新 科技 日 新 月 异 的 飞速 发 展 和 普及 应 用 , 不 仅 有 力 地 促进 了 各 
国 经 济 发 展 、 加 速 了 全 球 经 济 一 体 化 的 进程 , 而 且 推 动 着 当今 世界 跨 
入 信息 社会 的 步伐 。 以 计算 机 为 主导 的 计算 机 文化 , 正在 深刻 地 影 
响 着 人 类 社会 的 经 济 发 展 与 文明 建设 , 以 网 络 为 基础 的 网 络 经 济 , 正 
在 全 面 地 改变 着 传统 的 社会 生活 、 工作 方式 和 商务 模式 。 如 今 , 计算 
机 应 用 水 平 、 信息 化 发 展 速度 与 程度 , 已 经 成 为 衡量 一 个 国家 经 济 发 
展 和 竞争 力 的 重要 指标 。 
没有 计算 机 就 没有 现代 化 发 展 ! 没有 计算 机 网 络 , 就 没有 经 济 
的 大 发 展 ! 为 此 , 国家 出 台 了 一 系列 “关于 加 强 计 算 机 应 用 和 推动 国 
民 经 济 信息 化 进程 的 文件 及 规定 ”, 启动 了 ' 电 子 商务 、 电 子 政务 、 金 
税 ” 等 富有 深刻 意义 的 重大 工程 , 加 速 推进 “国防 信息 化 、 金融 信息 
化 、 财税 信息 化 、 企业 信息 化 、 教 育 信 息 化 、 社 会 管理 信息 化 ”, 因而 
全 社会 又 掀起 了 新 一 轮 的 计算 机 学 习 应 用 的 热潮 。 
针对 我 国 高 职 教育 “计算 机 应 用 ”等 专业 知识 老化 、 教 材 陈 旧 、 
重 理 论 轻 实践 、 缺乏 实际 操作 技能 训练 的 问题 , 为 了 适应 我 国 国民 经 
济 信息 化 发 展 对 计算 机 应 用 人 才 的 需要 , 全 面 贯彻 教育 部 关于 加 强 
职业 教育 " 的 精神 和 “强化 实践 实 训 、 突出 技能 培养 ” 的 要 求 , 根据 企 
业 用 人 与 就 业 岗位 的 真实 需要 , 结合 高 职高 专 院 校 “计算 机 应 用 ”和 
网 络 安全 ”等 专业 的 教学 计划 及 课程 设置 与 调整 的 实际 情况 , 我 们 
组 织 北 京 联合 大 学 、 陕 西 理 工学 院 、 北方 工业 大 学 、 沈阳 师范 大 学 、 
北京 财贸 职业 学 院 、 山东 滨州 职业 学 院 、 首钢 工 学 院 、 包头 职业 技术 
学 院 , 北方 工业 技术 学 院 、 广东 理工 学 院 、 北 京城 市 学 院 、 黑龙 江 工 
商 大 学 、 北京 石景山 社区 学 院 、 海南 职业 学 院 、 北 京 西城 经 济 科学 大 
学 、 北京 朝阳 社区 学 院 、 北 京 宣武 社区 学 院 等 全 国 9 多 所 高 校 及 高 职 
院 校 多 年 从 事 计 算 机 教学 的 主讲 教师 和 具有 丰富 实践 经 验 的 企业 人 
士 共同 撰写 了 此 套 教 材 。 


VN 


计算 机 网 络 管理 与 安全 (第 2 版 ) 


本 套 教 材 包括 《计算 机 基础 实例 教程 》、《 中 小 企业 网 站 建设 与 管理 》 等 上 6 本 书 。 
在 编写 过 程 中 , 编者 们 注意 自觉 坚持 以 科学 发 展 观 为 统领 , 严守 统一 的 创新 型 格式 化 设 
计 ; 注重 校 企 结合 、 贴 近 行业 企业 岗位 实际 , 注重 实用 技术 与 能 力 的 训练 培养 , 注重 实 
践 技能 应 用 与 工作 背景 紧密 结合 , 同时 也 注重 计算 机 、 网 络 、 通 信 、 多 媒体 等 现代 化 信 
息 技术 的 新 发 展 , 具有 集成 性 、 系 统 性 、 针对 性 、 实 用 性 、 易 于 实施 教学 等 特点 。 

本 套 教材 不 仅 适 合 高 职高 专 及 应 用 型 院 校 “计算 机 应 用 、 网络. 电子 商务 ”等 专业 
学 生 的 学 历 教育 , 同时 也 可 作为 工商 、 外 贸 、 流通 等 企 事业 单位 从 业 人 员 的 职业 教育 和 
在 职 培训 , 对 于 广大 社会 自学 者 也 是 有 益 的 学 习 参 考 读物 。 


系列 教材 编 委 会 
2014 年 5 月 


四 
前 言 


计算 机 网 络 管理 与 安全 既是 信息 化 推进 的 基础 保障 , 也 是 信息 系 
统 正常 运行 的 关键 环节 。 管理 信息 系统 是 企 事 业 单位 计算 机 应 用 的 
灵魂 ,而 网 络 系统 安全 则 是 管理 信息 系统 最 重要 的 安全 防护 保障 支 
撑 ; 并 在 国家 机 密 安全 防护 、 有 效 保护 企业 商业 秘密 和 公民 个 人 隐私 
等 方面 发 挥 越 来 越 重 要 的 作用 。 

“计算 机 网 络 管理 与 安全 ”是 计算 机 网 络 管理 专业 非常 重要 的 专 
业 课程 , 也 是 学 生 就 业 、 从 事 相 关 工 作 必 须 学 握 的 关键 知识 技能 。 本 
书 注重 以 学 习 者 应 用 能 力 培养 和 提高 为 主线 、 坚持 以 科学 发 展 观 为 统 
领 , 严格 按照 教育 部 关于 “加 强 职 业 教 育 、 突出 实践 技能 培养 ”的 要 
求 , 根据 计算 机 网 络 管理 与 安全 技术 设备 的 发 展 、 结合 高 职高 专 教学 
改革 的 需要 , 针对 知识 要 点 、 难点 循序 渐进 地 进行 讲解 。 

本 书 自 出 版 以 来 , 因 写作 质量 高 而 深 受 全 国 各 类 高 校 广大 师 生 的 
欢迎 , 目前 已 多 次 重印 。 此 次 再 版 , 结合 读者 对 本 教材 提出 的 意见 和 
建议 , 作者 审慎 地 对 原 教材 进行 了 反复 推敲 和 认真 完善 的 修订 , 在 保 
留 原 书 特点 和 基本 结构 的 基础 上 , 进行 知识 更 新 、 软件 更 新 , 增加 新 
知识 、 补 充 操作 实 训 , 以 便 更 好 地 为 计算 机 应 用 教学 实践 服务 。 

本 书 作 为 高 职高 专 计算 机 网 络 管理 专业 的 特色 教材 , 按照 计算 机 
网 络 安 全 管理 的 基本 过 程 和 规律 , 主要 对 计算 机 网 络 管理 技术 和 安全 
技术 两 部 分 内 容 进行 介绍 。 在 网 络 管理 技术 中 重点 介绍 基于 SNMP 
的 网 络 设备 管理 技术 、 基 于 Wndows 的 活动 目录 技术 、 局 域 网 监控 技 
本 ; 在 网 络 安 全 方面 , 侧重 介绍 网 络 信息 安全 和 系统 安全 , 并 通过 结 
合 实例 说 明 与 操作 演示 指导 学 生 实 训 、 加强 实践 , 强化 技能 培养 。 

由 于 本 书 融入 计算 机 网 络 安全 管理 最 新 的 实践 教学 理念 , 力求 严 
谍 , 注重 与 时 俱 进 , 具有 知识 系统 、 语言 简洁 、 突出 实用 性 等 特点 , 并 
注重 职业 技术 与 实践 应 用 相 结 合 ; 因此 本 书 既 可 作为 高 职高 专 院 校 计 
算 机 应 用 和 网 络 管理 等 专业 的 首选 教材 , 也 可 作为 企业 信息 化 培训 教 


材 , 并 为 广大 企 事 业 网 站 管理 从 业者 提供 有 益 的 学 习 指 导 。 
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本 教材 由 李 大 军 进行 统筹 策划 及 具体 组 织 , 赵 立 群 主编 并 统 改 全 稿 , 吴 霞 、 孙 岩 为 
副 主编 , 由 Cisco 公司 高 级 网 络 培 训 师 马 瑞 奇 审定 。 作者 写作 分 工 如 下 : 件 惟 仲 ( 序 
言 ), 赵 立 群 (第 1 章 、 第 7 章 ) , 唐 宏 维 (第 2 章 、 第 3 章 ), 孙 岩 (第 4 章 ) , 吴 霞 . 关 忠 
(第 5 章 ) , 温 志 华 (第 6 章 ) , 徐 军 (第 8 章 ) , 王 冰 (附录 ) ; 华 燕 萍 (文字 修改 和 版 式 
整理 ) , 李 晓 新 (制作 课件 ) 。 

在 教材 编写 的 过 程 中 , 我 们 参阅 了 中 外 有 关 计 算 机 网 络 管理 与 安全 的 最 新 书刊 和 网 
站 资料 , 并 得 到 计算 机 行业 协会 及 业界 专家 教授 的 具体 指导 , 在 此 一 并 致谢 。 为 方便 教 
学 . 本 书 配 有 电子 课件 , 读者 可 以 从 清华 大 学 出 版 社 网 站 (wwtupcomcn ) 免费 下 载 使 
用 。 因 作 者 水 平 有 限 , 书 中 难免 存在 朴 漏 和 不 足 , 恩 请 同行 批评 指正 。 


编 者 
2014 年 9 月 


学 与 技术 的 重要 组 成 部 分 , 也 是 计算 机 管理 信息 系统 的 核心 ， 计 算 机 
网 络 管 理 与 安全 既是 信息 化 推进 的 基础 保障 , 也 是 信息 系统 正常 运行 
的 关键 环节 , 因而 备 受 世界 各 国 高 度 关 注 。 

本 教材 针对 计算 机 网 络 管理 与 安全 等 方面 存在 的 管理 及 技术 问 
题 , 按照 教育 部 关于 “加 强 职业 教育 、 强化 实践 教学 、 突 出 技能 和 能 
力 培养 " 教育 教学 改革 精神 , 根据 计算 机 网 络 管理 与 安全 课程 教学 规 
律 和 特点 , 对 原 有 的 计算 机 网 络 管理 、 网 络 安全 等 内 容 进行 了 深度 综 
合 与 提炼 , 并 注意 打通 相关 知识 联系 , 采取 了 集成 式 写法 。 本 书 内 容 
包括 : 基于 Wndows 操 作 系统 的 活动 目录 管理 方法 、 网 络 操作 系统 、 
网 络 管 理 、 对 因特网 工作 环境 的 支持 、 网 络 安全 技术 与 应 用 、 SNYP 协 
议 管理 等 基本 知识 , 以 及 加 强 计算 机 网 络 安全 管理 等 技术 应 用 。 

全 书 共 8 章 , 采取 新 颖 统一 的 格式 化 设计 , 突出 案例 教学 , 在 案 
例 的 选择 上 具有 实用 性 , 以 学 习 者 应 用 能 力 培养 与 提高 为 主线 , 依照 
学 习 计算 机 网 络 管理 与 安全 的 基本 过 程 和 规律 , 以 任务 剖析 的 方式 ， 
结合 知识 要 点 循序 渐进 地 进行 讲解 。 本 书 在 引导 读者 对 知识 和 技术 
理解 与 掌握 的 基础 上 , 通过 多 动手 、 多 练习 的 方式 , 提高 实践 应 用 技 
能 , 注重 动手 能 力 的 培养 , 以 达到 学 以 致 用 的 目的 。 

目前 , 世界 正 处 于 科学 技术 的 高 速 发 展期 , 我 国 也 正 处 在 经 济 发 
展 最 活跃 的 时 期 , 面 对 激 烈 的 市 场 竞争 , 面 对 科 技 进步 , 所 有 企 事业 
单位 都 在 科学 发 展 观 的 统领 下 加 快 信息 化 进程 , 加 速 信息 技术 应 用 ， 
特别 关注 和 加 强 计算 机 网 络 管理 与 安全 的 监控 。 当前 面临 企业 拼 发 
展 , 面临 社会 就 业 上 岗 的 巨大 压力 , 无 论 是 企业 员工 、 即将 毕业 的 各 
类 学 生 , 还 是 下 岗 转 岗 的 待业 人 员 , 努力 学 习 和 掌握 计算 机 网 络 管 理 
与 安全 的 软件 工具 及 技术 应 用 , 不 断 提高 业务 技术 素质 , 对 于 今后 的 

发 展 都 具有 特殊 意义 。 


随 着 计算 机 技术 与 网 络 通信 技术 的 飞速 发 展 , 计算 机 网 络 应 用 已 
NN 经 渗透 到 社会 经 济 领 域 的 各 个 方面 。 计算 机 网 络 技 术 是 现代 信息 科 
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【本 章 重 点 】 
计算 机 网 络 管理 的 概念 、 功 能 ,网 络 管理 软件 的 分 类 。SNMP 的 作用 和 基本 内 容 ， 
Windows 的 活动 目录 和 组 策略 技术 ,局 域 网 监控 软件 的 作用 和 其 中 的 主要 技术 。 


计算 机 网 络 作为 计算 机 技术 和 通信 技术 相 结合 的 产物 ,近年 来 得 到 了 迅猛 的 发 展 。 
随 着 规模 的 不 断 扩大 ,网 络 中 的 设备 越 来 越 多 、 异 构 性 越 来 越 强 。 同 时 随 着 计算 机 网 络 越 
来 越 快 地 进入 我 们 的 工作 与 生活 ,人 们 对 计算 机 网 络 的 依赖 性 越 来 越 高 。 

这 就 使 得 计算 机 网 络 运 行 的 可 靠 性 、 安 全 性 变 得 至 关 重 要 ,向 网 络 的 管理 、 运 行 提出 
了 更 高 的 要 求 ; 网 络 系统 的 维护 与 管理 日 趋 繁 杂 , 网 络 管 理 人 员 用 人 工 方 法 管理 网 络 已 无 
法 可 靠 、 迅 速 地 保障 网 络 的 正常 运行 ,甚至 无 法 满足 当前 开放 式 异 构 网 络 环境 的 需要 ;人 
们 迫切 地 需要 用 计算 机 来 管理 网 络 ,提高 网 络 管理 水 平 , 使 计算 机 网 络 能 够 安全 ,快捷 地 
传递 用 户 所 需要 的 信息 。 于 是 计算 机 网 络 管理 理论 便 应 运 而 生 了 。 


1.1 网 络 管理 


作为 一 种 正在 发 展 中 的 技术 ,无论 是 从 理论 还 是 从 实践 出 发 ,对 于 网 络 管理 都 必须 有 
一 个 确定 的 概念 ,同时 对 网 络 管理 的 对 象 有 一 个 较为 明确 的 界定 。 


1.1.1 计算 机 网 络 管理 概念 


所 谓 计算 机 网 络 管理 就 是 指 规划 、 监 督 .设计 和 控制 网 络 资源 的 使 用 和 网 络 的 各 种 活 
动 , 以 使 网 络 的 性 能 达到 最 优 。 通 俗 地 讲 ,网 络 管理 就 是 通过 某 种 方式 对 网 络 状态 进行 调 
整 ,使 网 络 能 正常 .高效 地 运行 ,使 网 络 中 各 种 资源 得 到 更 加 高 效 的 利用 , 当 网 络 出 现 故障 
时 能 及 时 做 出 报告 和 处 理 , 并 协调 、 保 持 网 络 的 高 效 运行 等 。 

一 般 来 说 ,从 网 络 管理 概念 的 范畴 来 分 类 ,可 分 为 对 网 “路 ”的 管理 , 即 针对 交换 机 、 路 
由 器 等 主干 网 络 进行 管理 ;对 接 入 设备 的 管理 , 即 对 内 部 PC 服务器、 交换 机 等 进行 管理 ; 
对 行为 的 管理 , 即 针对 用 户 的 使 用 进行 管理 ;对 资产 的 管理 , 即 统计 IT 软 硬 件 的 信息 等 。 
计算 机 网 络 管理 具有 5 大 功能 。 


多 
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1. 故障 管理 

故障 管理 (Fault Management) 是 网 络 管理 中 最 基本 的 功能 之 一 。 用 户 都 希望 有 一 
个 可 靠 的 计算 机 网 络 。 当 网 络 中 某 个 组 成 失效 时 ,网 络 管理 器 必须 迅速 查找 到 故障 并 及 
时 排除 。 通 常 不 大 可 能 迅速 隔离 某 个 故障 ,因为 网 络 故障 的 产生 原因 往往 相当 复杂 ,特别 
是 当 故 障 是 由 多 个 网 络 组 成 共同 引起 时 。 在 此 情况 下 ,一 般 先 将 网 络 修复 ,然后 再 分 析 网 
络 故 障 的 原因 。 分 析 故 障 原因 对 于 防止 类 似 故 障 的 再 发 生 相 当 重 要 。 

2. 计 费 管理 

计 费 管理 (Accounting Management) 记 录 网 络 资源 的 使 用 ,目的 是 控制 和 监测 网 络 
操作 的 费用 和 代价 。 它 对 一 些 公 共 商 业 网 络 尤为 重要 。 它 可 以 估算 出 用 户 使 用 网 络 资源 
可 能 需要 的 费用 和 代价 ,及 已 经 使 用 的 资源 。 网 络 管理 员 还 可 规定 用 户 可 使 用 的 最 大 费 
用 ,从 而 控制 用 户 过 多 占用 和 使 用 网 络 资源 。 这 也 从 另 一 方面 提高 了 网 络 的 效率 。 另 外 ， 
当 用 户 为 了 一 个 通信 目的 需要 使 用 多 个 网 络 中 的 资源 时 , 计 费 管理 应 可 以 计算 总 计 费 用 。 

3. 配置 管理 

配置 管理 (Configuration Management) 同样 相当 重要 。 它 初始 化 网 络 并 配置 网 络 ， 
以 使 其 提供 网 络 服务 。 配 置 管理 是 一 组 对 辨别 .定义 .控制 和 监视 组 成 一 个 通信 网 络 的 对 
象 所 必要 的 相关 功能 ,目的 是 为 了 实现 某 个 特定 功能 或 使 网 络 性 能 达到 最 优 。 

(1) 配置 信息 的 自动 获取 

在 一 个 大 型 网 络 中 ,需要 管理 的 设备 是 比较 多 的 ,如 果 每 个 设备 的 配置 信息 都 完全 依 
靠 管理 人 员 的 手工 输入 ,工作 量 是 相当 大 的 ,而 且 还 存在 出 错 的 可 能 性 。 对 于 不 熟悉 网 络 
结构 的 人 员 来 说 ,这 项 工作 甚至 无 法 完成 。 因 此 一 个 先进 的 网 络 管理 系统 应 该 具有 自动 
获取 配置 信息 功能 。 即 使 在 管理 人 员 不 是 很 熟悉 网 络 结构 和 配置 状况 的 情况 下 ,也 能 通 
过 有 关 的 技术 手段 来 完成 对 网 络 的 配置 和 管理 。 

在 网 络 设备 的 配置 信息 中 ,根据 获取 手段 可 以 分 为 三 类 : 第 一 类 是 网 络 管理 协议 标 
准 的 MIB 中 定义 的 配置 信息 (包括 SNMP 和 CMIP) ;第 二 类 是 不 在 网 络 管理 协议 标准 中 
有 定义 ,但 是 对 设备 运行 比较 重要 的 配置 信息 ;第 三 类 就 是 用 于 管理 的 一 些 辅助 信息 。 

(2) 自动 配置 .自动 备份 及 相关 技术 

配置 信息 自动 获取 功能 相当 于 从 网 络 设备 中 * 读 ?信息 ,在 网 络 管理 应 用 中 还 有 大 量 
“ 写 ” 信 息 的 需求 。 同 样 根据 设置 手段 对 网 络 配置 信息 进行 分 类 : 第 一 类 是 可 以 通过 网 络 
管理 协议 标准 中 定义 的 方法 (如 SNMP 中 的 set 服务 ) 进 行 设置 的 配置 信息 ;第 二 类 是 可 
以 通过 自动 登录 到 设备 进行 配置 的 信息 ;第 三 类 就 是 需要 修改 的 管理 性 配置 信息 。 

(3) 配置 一 致 性 检查 

在 一 个 大 型 网 络 中 ,由 于 网 络 设备 众多 ,而 且 由 于 管理 的 原因 ,这 些 设备 很 可 能 不 是 
由 同一 个 管理 人 员 进 行 配置 的 。 因 此 ,对 整个 网 络 的 配置 情况 进行 一 致 性 检查 是 必需 的 。 
在 网 络 的 配置 中 ,对 网 络 正常 运行 影响 最 大 的 主要 是 路 由 器 端口 配置 和 路 由 信息 配置 , 因 
此 ,要 进行 一 致 性 检查 的 也 主要 是 这 两 类 信息 。 

(4) 用 户 操作 记录 功能 

配置 系统 的 安全 性 是 整个 网 络 管理 系统 安全 的 核心 ,因此 .必须 对 用 户 进行 的 每 一 配 
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置 操作 进行 记录 。 在 配置 管理 中 ,需要 对 用 户 操作 进行 记录 ,并 保存 下 来 。 管 理 人 员 可 以 
随时 查看 特定 用 户 在 特定 时 间 内 进行 的 特定 配置 操作 。 

4. 性 能 管理 

性 能 管理 (Performance Management) 主要 针对 系统 资源 的 运行 状况 及 通信 效率 等 
系统 性 能 ,其 能 力 包 括 监视 和 分 析 被 管 网 络 及 其 所 提供 服务 的 性 能 机 制 。 性 能 分 析 的 结 
果 可 能 会 触发 某 个 诊断 测试 过 程 或 重新 配置 网 络 以 维持 网 络 的 性 能 。 性 能 管理 收集 分 析 
有 关 被 管 网 络 当前 状况 的 数据 信息 ,并 维持 和 分 析 性 能 日 志 , 一 些 典 型 的 功能 如 下 。 

(1) 性 能 监控 : 由 用 户 定义 被 管 对 象 及 其 属性 。 被 管 对 象 类 型 包括 线路 和 路 由 器 ; 
被 管 对 象 属性 包括 流量 、 延 时 、 丢 包 率 、CPU 利用 率 、` 温度. 内 存 余 量 。 对 于 每 个 被 管 对 
象 ,定时 采集 性 能 数据 ,自动 生成 性 能 报告 。 

(2) 阅 值 控制 : 可 对 每 一 个 被 管 对象 的 每 一 条 属性 设置 阔 值 ,对 于 特定 被 管 对 象 的 
特定 属性 ,可 以 针对 不 同 的 时 间 段 和 性 能 指标 进行 阔 值 设置 。 可 通过 设置 阔 值 检查 开关 
控制 阔 值 检查 和 告警 ,提供 相应 的 阔 值 管理 和 溢出 告警 机 制 。 

(3) 性 能 分 析 : 对 历史 数据 进行 分 析 、 统 计 和 整理 ,计算 性 能 指标 ,对 性 能 状况 做 出 
判断 ,为 网 络 规划 提供 参考 。 

(4) 可 视 化 的 性 能 报告 : 对 数据 进行 扫描 和 处 理 , 生 成 性 能 趋势 曲线 ,以 直观 的 图 形 
反映 性 能 分 析 的 结果 。 

(5) 实时 性 能 监控 : 提供 了 一 系列 实时 数据 采集 ;分 析 和 可 视 化 工具 ,用 于 对 流量 、 
负载 . 丢 包 、 温 度 、 内 存 、 延 时 等 网 络 设备 和 线路 的 性 能 指标 进行 实时 检测 ,可 任意 设置 数 
据 采集 间隔 。 

(6) 网 络 对 象 性 能 查询 : 可 通过 列表 或 按 关 键 字 检索 被 管 网 络 对 象 及 其 属性 的 性 能 
记录 。 

5. 安全 管理 

安全 性 一 直 是 网 络 的 薄弱 环节 之 一 ,而 用 户 对 网 络 安 全 的 要 求 又 相当 高 ,因此 网 络 安 
全 管理 (Security Management) 非 常 重要 。 网 络 中 主要 有 几 大 安全 问题 : 网 络 数据 的 私 
有 性 (保护 网 络 数据 不 被 侵入 者 非法 获取 ) ,授权 (authentication ,防止 侵入 者 在 网 络 上 发 
送 错 误 信 息 ) ,访问 控制 (控制 对 网 络 资源 的 访问 ) 。 

相应 地 ,网络 安全 管理 应 包括 对 授权 机 制 . 访 问 控制 .加密 和 加 密 关 键 字 的 管理 ,另外 
还 要 维护 和 检查 安全 日 志 , 包 括 网 络 管理 过 程 中 ,存储 和 传输 的 管理 和 控制 信息 对 网 络 的 
运行 和 管理 至 关 重 要 ,一旦 泄密 、 被 算 改 或 伪造 ,将 给 网 络 造 成 灾难 性 的 破坏 。 


1.1.2 网 络 管理 软件 

1. 网 络 管理 软件 的 分 类 

常用 的 网 络 管理 软件 可 分 为 两 大 类 ,主要 根据 管理 对 象 来 分 , 即 通用 网 络 管理 软件 
(NMS) 和 网 元 (设备 ) 管 理 软件 (EMS) 两 大 类 ,网 元 管理 软件 只 管理 单独 的 网 元 (网 络 设 
备 ) ,通用 网 络 管理 软件 的 管理 目标 为 一 个 网 络 。 

网 元 管理 软件 一 般 由 原 厂商 提供 ,各 厂商 采用 专 有 的 管理 MIB 库 , 以 实现 对 厂商 设 
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备 本 身 的 细致 入 微 的 管理 ,包括 可 以 显示 出 厂商 设备 图 形 化 的 面板 等 ,如 安奈 特 公 司 的 
AT-View Plus, 思 科 公 司 的 Cisco View 和 华为 网 络 公司 的 Quidview 等 。 

通用 网 络 管理 软件 则 主要 用 于 掌握 全 网 的 状况 ,作为 底层 的 网 管 平 台 来 服务 于 上 层 
的 网 元 管理 软件 等 ,可 以 提供 一 个 第 三 方 的 网 管 平台 ,支持 对 所 有 SNMP 设备 的 发 现 和 
监控 ,可 集成 厂商 设备 的 私有 MIB 库 ,可 实现 对 全 网 (多 厂商 ) 设 备 进行 识别 和 统一 的 管 
理 , 从 而 避免 了 厂商 专用 型 网 管 软件 无 法 实现 对 全 网 设备 的 统一 管理 ,用 户 往 往 采用 多 台 
网 管 工作 站 分 别 安装 不 同 的 系统 进行 分 别管 理 ,有 利于 简化 管理 和 降低 成 本 。 这 类 产品 
还 有 惠普 公司 的 HP OpenView、CA 公司 的 Unicenter、IBM 公司 的 Tivoli NetView 等 。 

本 书 重点 介绍 通过 网 络 管理 系统 对 网 络 进 行 有 效 的 管理 。 

2. 网 络 管理 系统 的 主要 功能 

网 管 系统 开发 商 针对 不 同 的 管理 内 容 开 发 了 相应 的 管理 软件 ,形成 了 多 个 网 络 管理 
方面 。 目 前 主要 的 几 个 发 展 方面 有 : 网 管 系统 (NMS) ,应 用 性 能 管理 (APM) 应 用 性 能 
管理 .桌面 管理 (DMI) 、 员 工行 为 管理 (EAM) ,安全 管理 。 当 然 传统 网 络 管理 模型 中 的 资 
产 管理 故障 管理 仍然 是 热门 的 管理 课题 。 

(1) 网 管 系统 (NMS)。 

网 管 系统 主要 是 针对 网 络 设备 进行 监测 、 配 置 和 故障 诊断 的 ,主要 功能 有 自动 拓扑 发 
现 、. 远 程 配置 ,性 能 参数 监测 故障 诊断 。 网 管 系统 主要 由 两 类 公司 开发 ,一 类 是 通用 软件 
供应 商 ; 另 一 类 是 各 个 设备 厂商 。 

通用 软件 供应 商 开 发 的 NMS 系统 是 针对 各 个 厂商 网 络 设备 的 通用 网 管 系统 ,目前 
比较 流行 的 有 OpenView、Micromuse、Concord 等 。 

各 个 设备 厂商 为 自己 产品 设计 的 专用 NMS 系统 对 自己 产品 的 监测 、 配 置 功能 非常 
全 面 ,可 监测 一 些 通 用 网 管 系统 无 法 监测 的 重要 性 能 指标 ,还 有 一 些 独特 的 配置 功能 。 但 
是 对 其 他 公司 生产 的 设备 基本 上 就 无 能 为 力 了 。 目 前 比较 流行 的 设备 厂商 网 管 软件 有 
Cisco Works 2000、NetSight, 国 内 的 Linkmanage、iManager。 

(2) 应 用 性 能 管理 (APM)。 

应 用 性 能 管理 是 一 个 比较 新 的 网 络 管理 方向 ,主要 指 对 企业 的 关键 业务 应 用 进行 监 
测 、 优 化 ,提高 企业 应 用 的 可 靠 性 和 质量 ,保证 用 户 得 到 良好 的 服务 ,降低 IT 总 拥有 成 本 
(TCO)。 一 个 企业 的 关键 业务 应 用 性 能 的 强大 ,可 以 提高 竞争 力 ,并 取得 商业 成 功 , 因 
此 ,加 强 应 用 性 能 管理 (APM) 可 以 产生 巨大 的 商业 利益 。 应 用 性 能 管理 主要 功能 如 下 。 

监测 企业 关键 应 用 性 能 : 过 去 ,企业 的 IT 部 门 在 测量 系统 性 能 时 ,一般 重 点 测量 为 最 
终 用 户 提供 服务 的 硬件 组 件 的 利用 率 , 如 CPU 利用 率 以 及 通过 网 络 传输 的 字 节 数 。 虽 然 这 
种 方法 也 提供 了 一 些 宝贵 的 信息 ,但 却 忽视 了 最 重要 的 因素 一 一 最 终 用 户 的 响应 时 间 。 现 
在 通过 事务 处 理 过 程 监测 ,模拟 等 手段 可 真实 测量 用 户 响应 时 间 , 此 外 还 可 以 报告 谁 正在 使 
用 某 一 应 用 ,该 应 用 的 使 用 频率 以 及 用 户 所 进行 的 事务 处 理 过 程 是 否 成 功 完 成 。 

快速 定位 应 用 系统 性 能 故障 : 通过 对 应 用 系统 各 种 组 件 ( 数 据 库 .中 间 件 ?的 监测 , 迅 
速 定位 系统 故障 ,如 发 生 Oracle 数据 库 死 锁 等 问题 。 

优化 系统 性 能 : 精确 分 析 系 统 各 个 组 件 占 用 系统 资源 情况 ,中 间 件 .数据 库 执行 效 


第 1 章 网 络 管理 概述 


率 , 根 据 应 用 系统 性 能 要 求 提 出 专家 建议 ,保证 应 用 在 整个 寿命 周期 内 使 用 的 系统 资源 最 
少 , 节 约 TCO。 

目前 市 场 上 比较 流行 的 应 用 性 能 管理 产品 有 BMC Tivoli Application Performance 
Management、VERITAS(precise) 的 i3 系列 产品 , Quest 系列 产品 ,Topaz。 国 内 主要 是 
SiteView 产品 。 

(3) 桌 面 管理 系统 (DMI1)。 

桌面 管理 环境 是 由 最 终 用 户 的 计算 机 组 成 的 ,这 些 计算 机 运行 Windows、Mac 等 系 
统 。 桌 面 管理 是 对 计算 机 及 其 组 件 进 行 管理 ,内 容 比 较 多 ,目前 主要 关注 资产 管理 .软件 
派送 和 远程 控制 。 桌 面 管理 系统 通过 以 上 功能 ,一 方面 减少 了 网 管 人 员 的 劳动 强度 ; 另 一 
方面 增加 了 系统 维护 的 准确 性 、 及 时 性 。 这 类 系统 通常 分 为 两 部 分 一 一 管理 端 和 客户 端 。 

目前 市 场 上 比较 流行 的 国外 桌面 管理 系统 有 CA Unicenter、Landesk, 国 内 的 
NetInhandLANDesk Management Suite 7 是 目前 比较 流行 的 桌面 管理 系统 。 

(4) 员工 行为 管理 (EAM)。 

员工 行为 管理 包括 两 部 分 ,一 部 分 是 员工 网 上 行为 管理 (EIM) ; 另 一 部 分 是 员工 桌面 
行为 监测 。 它 一 般 在 Internet 应 用 层 、 网 络 层 对 信息 控制 ,对 数据 根据 EIM 数据 库 进行 
过 滤 ; 定 制 因 特 网 访问 策略 ,根据 用 户 、 团 组 、 部 门 、 工 作 站 或 网 络 设置 不 同 的 因特网 访问 
策略 。 专 门 的 报表 工具 有 : Websense EIM Reporting Tools 等 。 

(5) 安全 管理 。 

网 络 安全 管理 指 保障 合法 用 户 对 资源 安全 访问 ,防止 并 杜绝 黑客 蓄意 攻击 和 破坏 。 
它 包括 授权 设施 ,访问 控制 .加 密 及 密 钥 管理 ,认证 和 安全 日 志 记 录 等 功能 。 目 前 市 场 上 
的 防火 墙 产 品 和 IDS 产品 很 多 ,防火 墙 有 Check Point、NetScreem,、Cisco PIX 等 。IDS 有 
ISS 公司 的 RealSecure、Axent 的 ITA、ESM, 以 及 NAI 的 CyberCopMonitor 等 。 


1.2 网 络 设备 管理 的 主要 协议 


网 络 是 由 路 由 器 、 交 换 机 、 服 务 器 等 设备 组 成 的 ,要 确保 所 有 的 设备 正常 运行 且 处 于 
最 佳 状 态 确实 是 一 件 非常 困难 的 事情 。 因 为 通常 情况 下 这 些 设 备 都 在 离 你 较 远 地 方 。 它 
们 不 会 像 你 的 用 户 那样 , 当 有 一 个 应 用 程序 问题 发 生 时 就 打 电话 通知 你 。 为 了 解决 这 个 
问题 ,设备 生产 厂商 们 在 设备 中 设立 了 网 络 管理 的 功能 ,使 网 络 管理 员 可 以 远程 控制 这 些 
网 络 设备 并 查询 它们 的 状态 。 


1.2.1 SNMP 


简单 网 络 管理 协议 (SNMP) 是 最 早 提出 的 网 络 管理 协议 之 一 , 它 得 到 了 业界 网 络 设 
备 生 产 厂商 的 广泛 支持 ,其 中 包括 IBM、HP、Sun 等 大 厂商 。 目 前 SNMP 已 成 为 网 络 管 
理 领 域 中 事实 上 的 工业 标准 ,并 被 广泛 支持 和 应 用 ,大 多 数 网 络 管理 系统 和 平台 都 是 基于 
SNMP 的 。 

简单 网 络 管理 协议 (SNMP) 在 体系 结构 上 分 为 被 管理 的 设备 (Managed Device)、 
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SNMP 管理 器 (SNMP Manager) 和 SNMP 代理 (SNMP Agent) 三 个 部 分 。 被 管理 的 设 
备 是 网 络 中 的 一 个 节点 ,有 时 被 称 为 网 络 单元 (Network Elements) ,被 管理 的 设备 可 以 
是 路 由 器 、 网 管 服务 器 、 交 换 机 、 网 桥 、 集 线 器 等 。 每 一 个 支持 SNMP 的 网 络 设 备 中 都 运 
行 着 一 个 SNMP 代理 , 它 负 责 随时 收集 和 存储 管理 信息 ,记录 网 络 设备 的 各 种 情况 ,网 络 
管理 软件 再 通过 SNMP 通信 协议 查询 或 修改 代理 所 记录 的 信息 。 

SNMP 代理 是 驻 留 在 被 管理 设备 上 的 网 络 管理 软件 模块 , 它 收集 本 地 计算 机 的 管理 
信息 并 将 这 些 信 息 翻 译 成 兼容 SNMP 的 形式 。 

SNMP 管理 器 使 用 网 络 管理 软件 通过 SNMP 来 进行 管理 工作 。 网 络 管理 软件 的 主 
要 功能 之 一 ,就 是 协助 网 络 管理 员 完成 管理 整个 网 络 的 工作 。 网 络 管理 软件 要 求 SNMP 
代理 定期 收集 重要 的 设备 信息 ,收集 到 的 信息 将 用 于 确定 独立 的 网 络 设备 .部 分 网 络 或 整 
个 网 络 运行 的 状态 是 否 正常 。SNMP 管理 器 定期 查询 SNMP 代理 收集 到 的 有 关 设 备 运 
转 状态 .配置 及 性 能 等 的 信息 。 

SNMP 使 用 面向 自 陷 的 轮 询 方法 (Trap-directed Polling) 进 行 网 络 设 备 管理 。 一 般 
情况 下 ,网 络 管理 工作 站 通过 轮 询 被 管理 设备 中 的 代理 进行 信息 收集 ,在 控制 台 上 用 数字 
或 图 形 的 表示 方式 显示 这 些 信息 ,提供 对 网 络 设备 工作 状态 和 网 络 通信 量 的 分 析 和 管理 
功能 。 当 被 管理 设备 出 现 异常 状态 时 ,管理 代理 通过 SNMP 自 陷 立即 向 网 络 管理 工作 站 
发 送出 错 通 知 。 当 一 个 网 络 设备 产生 了 一 个 自 陷 时 ,网 络 管理 员 可 以 使 用 网 络 管理 工作 
站 来 查询 该 设备 状态 ,以 获得 更 多 的 信息 。 

管理 信息 数据 库 (MIB) 是 由 SNMP 代理 维护 的 一 个 信息 存储 库 , 是 一 个 具有 分 层 特 
性 的 信息 集合 , 它 可 以 被 网 络 管理 系统 控制 。MIB 定义 了 各 种 数据 对 象 ,如 图 1-1 所 示 ， 
网 络 管理 员 可 以 通过 直接 控制 这 些 数据 对 象 去 控制 .配置 或 监控 网 络 设 备 。 


system(1) | | interfaces(2) | | at(3) ip(4) | icmp(S5) | | tcp(6) udp(7) egp(8) | | transmission(10) || snmp(11) 


图 1-1 MIB 数据 类 型 


SNMP 通过 SNMP 代理 来 控制 MIB 数据 对 象 。 无 论 MIB 数据 对 象 有 多 少 个 ， 
SNMP 代理 都 需要 维持 它们 的 一 致 性 ,这 也 是 代理 的 任务 之 一 。 现 在 已 经 定义 的 有 几 种 
通用 的 标准 管理 信息 数据 库 , 这 些 数据 库 中 包括 了 必须 在 网 络 设备 中 支持 的 特殊 对 象 ,所 
以 这 几 种 MIB 可 以 支持 简单 网 络 管理 协议 (SNMP)。 使 用 最 广泛 、 最 通用 的 MIB 是 
MIB-2。 此 外 ,为 了 利用 不 同 的 网 络 组 件 和 技术 .还 开发 了 一 些 其 他 种 类 的 MIB。 


1.2.2 RMON 


远程 网 络 监视 (Remote Monitoring On Network, RMON ) 是 IETF (Internet 
Engineering Task Force) 定 义 的 一 种 管理 信息 库 (Management Information Base, MIB)， 
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是 对 MIB-2 标准 最 重要 的 增强 。RMON 主要 用 于 对 一 个 网 段 乃 至 整个 网 络 中 的 数据 流 
量 的 监视 ,是 目前 应 用 相当 广泛 的 网 络 管理 标准 之 一 。 

1. 管理 信息 库 

管理 信息 库 (MIB) 是 被 管 对 象 (Router、Bridge、Switch、Hub、 网 络 服 务 器 等 设备 ) 的 
信息 集合 。 标 准 管理 信息 库 MIB-2(RFC1213) 和 各 厂家 的 专 有 MIB 库 主 要 提供 有 关 设 
备 的 数据 ,如 设备 端口 状态 \ 流 量 、 错 误 包 数 等 。 网 络 管 理 员 只 能 从 这 些 管 理 信息 库 中 获 
得 单个 设备 的 局 部 信息 。 要 想 获 得 一 个 子 网 网 段 的 信息 是 非常 困难 的 一 件 事 情 , 而 在 规 
模 越 来 越 大 的 互联 网 环境 中 ,人 们 更 需要 监控 的 是 一 个 网 段 的 性 能 ,因此 仅仅 使 用 标准 
MIB 获取 设备 的 管理 信息 已 经 不 能 满足 管理 大 型 互联 网 的 要 求 了 。 需 要 以 RMON 解决 
SNMP 在 日 益 扩 大 的 分 布 式 互联 中 所 面临 的 局 限 性 。 

RMON 包括 NMS(Network Management Station) 和 运行 在 各 网 络 设 备 上 的 Agent 
两 部 分 ,如 图 1-2 所 示 。RMON Agent 在 网 络 监视 器 或 网 络 探测 器 上 ,跟踪 统计 其 端口 
所 连接 的 网 段 上 的 各 种 流量 信息 (如 某 段 时 间 内 某 网 段 上 的 报 文 总 数 ,或 发 往 某 台 主 机 的 
正确 报 文 总 数 等 ) 。 


Agent 
RMON MIB, 
被 管 


Agent 


设备 


RMON 管 理工 作 站 


RMON MIB, 


1-2 RMON 体系 结构 


RMON 的 实现 完全 基于 SNMP 体系 结构 , 它 与 现存 的 SNMP 框架 兼容 ,不 需要 对 该 
协议 进行 任何 修改 。RMON 使 SNMP 更 有 效 .更 积极 主动 地 监测 远程 网 络 设备 ,为 监控 
子 网 的 运行 提供 了 一 种 高 效 的 手段 。RMON 能 够 减少 NMS 与 代理 间 的 通信 流量 ,从 而 
可 以 简便 而 有 效 地 管理 大 型 互联 网 络 。 

RMON 允许 有 多 个 监控 者 , 它 可 用 两 种 方法 收集 数据 : 

第 一 种 方法 是 利用 专用 的 RMON Probe (探测 仪 ) 收 集 数据 , NMS 直接 从 RMON 
Probe 获取 管理 信息 并 控制 网 络 资源 。 这 种 方式 可 以 获取 RMON MIB 的 全 部 信息 ; 

第 二 种 方法 是 将 RMON Agent 直接 植 和 网络 设 备 (路 由 器 、 交 换 机 、Hub 等 ) ,使 它 
们 成 为 带 RMON Probe 功能 的 网 络 设施 。RMON NMS 使 用 SNMP 的 基本 命令 与 
SNMP Agent 交换 数据 信息 ,收集 网 络 管理 信息 ,但 这 种 方式 受 设备 资源 限制 ,一 般 不 能 
获取 RMON MIB 的 所 有 数据 ,大 多 数 只 收集 4 个 组 的 信息 。 这 4 个 组 是 告警 组 .事件 
组 .历史 组 和 统计 组 。 

以 太 网 交换 机 以 第 二 种 方法 实现 RMON。 以 太 网 交换 机 里 直接 植 和 人 RMON 
Agent, 成 为 带 RMON Probe 功能 的 网 络 设施 。 通 过 运行 在 以 太 网 交换 机 上 支持 RMON 
的 SNMP Agent, 网 管 站 可 以 获得 与 以 太 网 交换 机 端口 相连 的 网 段 上 的 整体 流量 、 错 误 统 
计 和 性 能 统计 等 信息 ,实现 对 网 络 的 管理 。 
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2. 几 个 常用 的 RMON 组 

(1) 事件 组 。 

事件 组 用 来 定义 事件 号 及 事件 的 处 理 方式 。 事 件 组 定义 的 事件 主要 用 在 告警 组 配置 
项 和 扩展 告警 组 配置 项 的 告警 触发 产生 的 事件 中 。 

事件 有 以 下 几 种 处 理 方式 : 将 事件 记录 在 日 志 表 中 ;向 网 管 站 发 trap 消息 ;事件 记录 
在 日 志 表 中 并 向 网 管 站 发 trap 消息 ;不 做 任何 处 理 。 

(2) 告警 组 。 

RMON 告警 管理 可 对 指定 的 告警 变量 (如 端口 的 统计 数据 ) 进 行 监视 , 当 被 监视 数据 
的 值 在 相应 的 方向 上 越过 定义 的 阔 值 时 会 产生 告警 事件 ,然后 按照 事件 的 定义 进行 相应 
的 处 理 。 事 件 的 定义 在 事件 组 中 实现 。 

用 户 定义 了 告警 表 项 后 ,系统 对 告警 表 项 的 处 理 如 下 : 对 所 定义 的 告警 变量 (Alarm- 
Variable) 按 照 定义 的 时 间 间 隔 (Sampling-Time) 进 行 采样 ;将 采样 值 和 设 定 的 阔 值 进行 
比较 ,一 旦 超过 该 阔 值 , 即 触发 相应 的 事件 。 

(3) 扩展 告警 。 

扩展 告警 表 项 可 以 对 告警 变量 的 采样 值 进行 运算 ,然后 将 运算 结果 和 设置 的 阔 值 比 
较 , 实 现 更 为 丰富 的 告警 功能 。 

用 户 定义 了 扩展 告警 表 项 后 ,系统 对 扩展 告警 表 项 的 处 理 如 下 : 对 定义 的 扩展 告警 
公式 中 的 告警 变量 按照 定义 的 时 间 间 隔 进行 采样 ;将 采样 值 按照 定义 的 运算 公式 进行 计 
算 ;将 计算 结果 与 设 定 的 冰 值 进行 比较 ,一 旦 超过 该 冰 值 , 即 触发 相应 事件 。 

(4) 历史 组 。 

配置 了 RMON 历史 组 以 后 ,以 太 网 交换 机 会 周期 性 地 收集 网 络 统计 信息 ,为 了 便于 
处 理 , 这 些 统计 信息 被 暂时 存储 起 来 ,提供 有 关 网 段 流量 、 错 误 包 ,广播 包 、 带 宽 利 用 率 等 
统计 信息 的 历史 数据 。 

利用 历史 数据 管理 功能 ,可 以 对 设备 进行 设置 。 设 置 的 任务 包括 采集 历史 数据 .定期 
采集 并 保存 指定 端口 的 数据 。 

(5) 统计 组 。 

统计 组 信息 反映 设备 上 每 个 监控 接口 的 统计 值 。 统 计 组 统计 的 是 从 该 统计 组 创建 的 
时 间 开 始 的 累计 信息 。 统 计 信 息 包括 网 络 冲突 数 .CRC 校 验 错误 报 文 数 .过 小 (或 超大 ) 
的 数据 报 文 数 .广播 .多 播 的 报 文 数 以 及 接收 字 节 数 、 接 收报 文 数 等 。 利 用 RMON 统计 
管理 功能 ,可 以 监视 端口 的 使 用 情况 ,统计 端口 使 用 中 发 生 的 错误 。 

目前 大 部 分 RMON Agent 只 支持 统计 、 历 史 、 告 警 事 件 4 个 组 ,如 Cisco、3COM 、 华 
为 的 路 由 器 或 交换 机 都 已 实现 了 这 些 功 能 ,对 于 其 他 几 个 组 ,华为 Qiudway 系列 路 由 器 
和 LAN Switch 也 将 会 支持 。 另 外 ,华为 Qiudway 系列 路 由 器 增强 了 RMON 告警 组 的 
功能 ,不 但 支持 网 管 站 为 Agent 记录 的 任何 计数 和 整数 类 对 象 设置 采样 间隔 和 报警 阔 
值 ,而 且 允 许 网 管 站 根据 需要 以 表达 式 形式 对 多 个 变量 的 组 合 进行 设置 。 


1.2.3 SMON 


早期 的 网 络 一 般 工 作 在 共享 模式 下 ,RMON 技术 发 挥 了 对 共享 式 网 络 管理 的 优势 。 
近年 来 , 随 着 以 交换 机 设备 为 主 的 交换 式 网 络 的 普遍 使 用 ,RMON 技术 存在 的 缺陷 逐渐 
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暴露 出 来 。 因 此 在 RMON 基础 上 推出 了 交换 机 的 远程 网 络 监控 (Switch Monitoring On 
Network,SMON) 技 术 标准 ,随后 被 IETF 采纳 ,在 RFC 2613 文档 中 进行 了 详细 描述 。 
RMON 和 SMON 的 基础 是 SNMP ,都 是 通过 对 MIB 功能 的 扩展 以 适应 不 断 发 展 的 网 络 
技术 在 管理 上 的 要 求 。RMON 使 SNMP 适应 了 共享 式 网 络 管理 的 要 求 , 而 SMON 则 为 
目前 广泛 使 用 的 交换 式 网 络 的 管理 提供 了 技术 保障 。 

从 实现 原理 来 看 ,RMON 和 SMON 是 对 SNMP 功能 的 扩展 和 完善 ,具体 是 以 扩展 
MIB 的 结构 和 功能 来 实现 的 。SMON MIB 提供 了 一 个 数据 结构 , 列 出 了 进行 交换 时 的 
数据 源 和 数据 源 的 性 能 ,还 增加 了 那些 不 适合 存放 在 已 有 的 RMON 表 中 的 数据 源 的 计 
数 统计 能 力 ,SMON MIB 组 专门 收集 物理 实体 (实体 交换 机 或 交换 实体 模块 ) 和 逻辑 实体 
(VLAN) 的 流量 统计 和 在 不 同 优先 级 上 的 流量 信息 。 

在 RMON 中 ,数据 源 是 iftable MIB 表 中 的 实体 。 为 了 实现 SMON 与 RMON 解决 
方案 之 间 的 兼容 ,每 个 新 的 SMON 数据 源 都 映射 到 一 个 iftable 实体 上 ,并 把 这 些 实体 的 
类 型 设置 为 虚拟 (virtual) 方 式 。 另 外 ,通过 使 用 一 个 特殊 的 控制 表 , 可 以 定义 和 激活 端口 
复制 操作 。 该 表 中 的 每 一 行 都 定义 了 一 个 激活 的 端口 复制 操作 ,包括 将 要 复制 的 源 端口 、 
目的 端口 和 执行 的 操作 类 型 (如 带 内 流量 复制 、. 带 外 流量 复制 ,或 两 者 都 有 ) 。 管 理 站 的 管 
理 进程 可 以 通过 轮 询 数据 源 性 能 表 , 发 现 数据 源 的 端口 复制 能 力 。 

通过 采用 这 种 机 制 ,出 现 了 多 端口 复制 技术 ,即将 多 个 数据 源 端 口 的 流量 信息 同时 复 
制 到 一 个 目的 端口 上 ,或 将 一 个 或 多 个 VLAN 中 的 全 部 流量 复制 到 一 个 指定 的 连接 端口 
上 。 带 内 流量 和 带 外 流量 是 管理 站 与 SMON 模块 之 间 的 两 种 工作 模式 。 其 中 , 带 内 流量 
方式 是 指 将 管理 站 直接 连接 到 交换 机 的 一 个 端口 上 ,通过 该 端口 实现 与 SMON 模块 之 间 
的 连接 ; 带 外 流量 方式 则 是 将 管理 站 直接 连接 到 SMON 模块 上 ,达到 直接 监控 SMON 的 
目的 。 

随 着 交换 技术 的 不 断 成 熟 和 完善 ,出 现 了 三 层 交 换 技术 ,三 层 交 换 机 也 得 到 了 大 量 应 
用 。 三 层 交 换 也 称 多 层 交 换 技术 或 IP 交换 技术 ,是 相对 于 传统 交换 概念 而 提出 的 。 简 单 
地 说 ,三 层 交 换 技术 就 是 : 二 层 交 换 技 术 十 三 层 转发 技术 。 传 统 的 交换 技术 是 在 OSI 参 
考 模型 的 第 二 层 ( 数 据 链 路 层 ) 进 行 操作 的 ,而 三 层 交 换 技 术 则 在 OSI 参考 模型 的 第 三 层 
(网 络 层 ) 实 现 了 数据 包 ( 分 组 ) 的 高 速 转发 。 三 层 交 换 技 术 解 决 了 局 域 网 中 网 段 划 分 之 
后 ,不 同 网 段 之 间 的 通信 必须 依赖 路 由 器 进行 管理 的 局 面 ,解决 了 传统 路 由 器 低速 ,复杂 
所 造成 的 网 络 瓶颈 问题 。 

针对 三 层 交 换 机 的 应 用 ,IETF 提出 了 SMON 开标 准 , 它 可 以 实现 第 三 层 及 更 高 层 
交换 环境 的 监控 。SMON 开 不 仅 能 够 对 主机 的 IP 分 组 流量 独立 进行 统计 ,而 且 能 够 统 
计 位 于 其 他 子 网 中 的 IP 主机 的 流量 。 另 外 SMON 开 还 可 以 对 每 一 种 应 用 协议 进行 流量 
监控 。 第 一 个 采用 SMON 本 标准 的 多 层 交换 机 是 朗讯 (后 来 更 名 为 AVAYA) 公 司 的 
Cajun M770 M-MLS。 目 前 主流 的 三 层 交 换 机 都 采用 SMON 开标 准 。 

RMON 与 SMON 的 监控 内 容 相似 ,主要 对 数据 链 路 层 的 流量 进行 统计 ;而 RMON 
开 与 SMON 开 的 监控 内 容 相 似 , 支 持 网 络 层 及 以 上 各 层 ( 主 要 在 应 用 层 ) 的 性 能 监控 。 例 
如 ,在 企业 网 络 的 出 口 处 ,通过 对 与 Internet 连接 的 端口 的 网 络 层 流量 的 监控 ,可 以 了 解 
局 域 网 出 口 的 流量 大 小 。 同 时 ,还 可 以 针对 应 用 层 的 HTTP、SMTP、FTP 等 流量 进行 监 


4 


10 


计算 机 网 络 管理 与 安全 (第 2 版 ) 


控 , 了 解 每 一 种 协议 应 用 所 使 用 的 流量 情况 。 

一 个 标准 的 RMON I 探测 器 对 一 个 网 段 的 全 部 流量 进行 监控 而 不 加 区 分 ,而 SMON 工 
可 以 根据 交换 机 的 路 由 状态 表 记 录 数 据 信息 ,这 种 信息 可 以 被 看 作 一 个 单一 的 数据 源 。 
这 样 ,SMON 开 就 可 以 实现 对 具体 协议 `VLAN 的 分 类 统计 。 更 具体 来 讲 , 在 SMON 
的 网 络 管理 环境 中 ,网 络 管理 员 可 以 完成 以 下 几 项 工作 : 

(1) 根据 管理 需要 ,管理 员 可 以 定义 所 要 监控 的 OSI 模型 的 层次 ,同时 也 可 以 定义 应 
用 层 的 协议 类 型 。 

(2) 对 整个 交换 机 内 不 同 协议 的 流量 占用 情况 进行 实时 统计 和 分 析 。 

(3) 对 与 交换 机 相连 的 IP 和 IPX 子 网 上 的 流量 进行 监控 ,所 以 SMON 开 不 但 能 够 
监控 IP 流量 的 详细 情况 ,而 且 可 以 监控 IPX 等 非 IP 流量 的 大 小 。 

(4) 对 主机 之 间 ( 同 一 网 段 或 不 同 网 段 ) 的 通信 流量 进行 监控 。 


1.3 Windows 操作 系统 的 用 户 和 桌面 管理 技术 


网 络 已 从 对 互联 设备 的 松散 集成 ,发 展 为 由 相互 依存 的 资源 所 组 成 的 复杂 生态 系统 。 
为 此 ,网 络 操作 系统 所 要 提供 的 服务 将 远 远 不 止 是 简单 的 网 络 文件 与 打印 服务 ,而 应 更 进 
一 步 地 提供 对 分 布 式 网 络 资源 进行 透明 化 管理 的 工具 。 


1.3.1 活动 目录 


活动 目录 (Active Directory,AD) ,是 从 Windows 2000 开始 引入 的 操作 系统 的 重要 
组 件 。AD 可 以 认为 是 一 个 大 的 层次 结构 数据 库 , 用 来 集中 存储 企业 内 部 的 用 户 账户 、 计 
算 机 ,打印 机 、 应 用 程序 ,安全 性 与 系统 原则 等 各 种 重要 资源 。AD 允许 网 络 用 户 通过 单 
一 登录 就 可 以 访问 网 络 中 任何 位 置 的 许可 资源 。 

活动 目录 是 Windows 内 置 的 目录 服务 ,是 其 网 络 体系 的 基本 结构 模型 及 核心 支柱 。 
不 管用 户 从 何 处 访问 或 信息 处 在 何 处 ,都 对 用 户 提供 统一 的 视图 。 它 也 是 一 个 企业 级 的 
目录 服务 ,具有 很 好 的 可 伸缩 性 。 活 动 目录 以 轻 目录 访问 协议 (LDAP) 作 为 基础 ,支持 
X. 500 中 定义 的 目录 体系 结构 ,并 具有 可 复制 、 可 分 区 及 分 布 式 的 特点 。 

1. 逻辑 结构 

逻辑 结构 是 指 非 物 理 上 的 非 实 体 的 东西 , 它 是 一 种 抽象 的 东西 ,例如 讲 一 种 “关系 ”、 
一 个 “空间 、 范 围 " 等 。 活 动 目录 的 逻辑 结构 非常 灵活 ,有 目录 树 、 域 域 树 \ 域 林 等 ,这 些 名 
字 都 不 是 实 实在 在 的 一 种 实体 ,只 是 代表 了 一 种 关系 ,一 种 范围 ,如 目录 树 就 是 由 同一 名 
字 空 间 上 的 目录 组 成 的 ,而 域 又 是 由 不 同 的 目录 树 组 成 的 , 同 理 域 树 是 由 不 同 的 域 组 成 
的 , 域 林 是 由 多 个 域 树 组 成 的 。 它 们 是 一 种 完全 的 树 状 .层次 结构 视图 ,这 种 关系 我 们 可 
以 看 成 一 种 动态 关系 。 逻 辑 结构 还 与 前 面 讨 论 过 的 名 字 空 间 有 直接 的 关系 ,逻辑 结构 为 
用 户 和 管理 员 在 一 定 的 名 字 空 间 中 查找 、 定 位 对 象 提供 了 极 大 的 方便 。 

(1) 域 既是 Windows 网 络 系统 的 逻辑 组 织 单元 ,是 对 象 (如 计算 机 、 用 户 等 ) 的 容器 ， 
这 些 对 象 有 相同 的 安全 需求 复制 过 程 和 管理 。 在 Windows 域 中 所 有 的 域 控制 器 都 是 平 
等 的 , 域 是 安全 边界 , 域 管理 员 只 能 管理 域 的 内 部 ,除非 其 他 的 域 显 式 地 赋予 他 管理 权限 ， 


第 1 章 网 络 管理 概述 


他 才能 够 访问 或 管理 其 他 的 域 。 

每 个 域 都 有 自己 的 安全 策略 ,以 及 它 与 其 他 域 的 安全 信任 关系 。 域 与 域 之 间 具 有 一 
定 的 信任 关系 , 域 信任 关系 使 得 一 个 域 中 的 用 户 可 由 另 一 域 中 的 域 控制 器 进行 验证 ,才能 
使 一 个 域 中 的 用 户 访问 另 一 个 域 中 的 资源 。 所 有 域 信任 关系 中 只 有 两 种 域 : 信任 关系 域 
和 被 信任 关系 域 。 信 任 关 系 就 是 域 A 信任 域 B, 则 域 B 中 的 用 户 可 以 通过 域 A 中 的 域 控 
制 器 进行 身份 验证 后 访问 域 A 中 的 资源 , 则 域 A 与 域 B 之 间 的 关系 就 是 信任 关系 。 

被 信任 关系 就 是 被 一 个 域 信任 的 关系 ,在 上 面 的 例子 中 域 B 被 域 A 信任 , 域 B 与 域 
A 的 关系 就 是 被 信任 关系 。 信 任 与 被 信任 关系 可 以 是 单 向 的 ,也 可 以 是 双向 的 , 即 域 A 
与 域 B 之 间 可 以 是 单方 面 的 信任 关系 ,也 可 以 是 双方 面 的 信任 关系 。 

当 多 个 域 通过 信任 关系 连接 起 来 之 后 ,所 有 的 域 共享 公共 的 表 结 构 (schema) 、 配 置 
和 全 局 目录 (Global Catalog) ,从 而 形成 域 树 。 域 树 由 多 个 域 组 成 ,这 些 域 共享 同一 个 表 
结构 和 配置 ,形成 一 个 连续 的 名 字 空 间 。 树 中 的 域 通 过 信任 关系 连接 起 来 。 活 动 目 录 包 
含 一 个 或 多 个 域 树 。 

域 森 林 是 指 一 个 或 多 个 没有 形成 连续 名 字 空 间 的 域 树 。 域 林 中 的 所 有 域 树 共享 同一 
个 表 结 构 .配置 和 全 局 目录 。 域 林 中 的 所 有 域 树 通 过 Kerberos 信任 关系 建立 起 来 ,所 以 
每 个 域 树 都 知道 Kerberos 信任 关系 ,不 同 域 树 可 以 交叉 引用 其 他 域 树 中 的 对 象 。 

(2) 组 织 单元 (OU) 是 一 个 容器 对 象 , 它 也 是 活动 目录 的 逻辑 结构 的 一 部 分 ,我 们 可 
以 把 域 中 的 对 象 组 织 成 逻辑 组 , 它 可 以 帮助 我 们 简化 管理 工作 。OU 可 以 包含 各 种 对 象 ， 
如 用 户 账户 .用户 组 .计算 机 、 打 印 机 等 ,甚至 可 以 包括 其 他 的 OU ,所 以 我 们 可 以 利用 OU 
把 域 中 的 对 象形 成 一 个 完全 逻辑 上 的 层次 结构 。 对 于 企业 来 讲 , 可 以 按 部 门 把 所 有 的 用 
户 和 设备 组 成 一 个 OU 层次 结构 ,也 可 以 按 地 理 位 置 形成 层次 结构 ,还 可 以 按 功能 和 权限 
分 成 多 个 OU 层次 结构 。 

很 明显 ,通过 组 织 单元 的 包容 ,组 织 单元 具有 很 清楚 的 层次 结构 ,这 种 包容 结构 可 以 
使 管理 者 把 组 织 单元 切入 域 中 以 反映 出 企业 的 组 织 结构 并 且 可 以 委派 任务 与 授权 。 建 立 
包容 结构 的 组 织 模型 能 够 帮助 我 们 解决 许多 问题 ,同时 仍然 可 以 使 用 大 型 的 域 域 树 中 的 
每 个 对 象 都 可 以 显示 在 全 局 目录 ,从 而 用 户 就 可 以 利用 一 个 服务 功能 轻易 地 找到 某 个 对 
象 而 不 管 它 在 域 树 结构 中 的 位 置 。 

由 于 OU 层次 结构 局 限于 域 的 内 部 ,所 以 一 个 域 中 的 OU 层次 结构 与 男 一 个 域 中 的 
OU 层次 结构 没有 任何 关系 。 一 个 企业 有 可 能 只 用 一 个 域 来 构造 企业 网 络 , 这 时 候 我 们 
就 可 以 使 用 OU 来 对 对 象 进行 分 组 ,形成 多 种 管理 层次 结构 ,从 而 极 大 地 简化 网 络 管理 工 
作 , 如 图 1-3 所 示 。 组 织 中 的 不 同 部 门 可 以 成 为 不 同 的 域 .或 者 一 个 组 织 单元 ,从 而 采用 
层次 化 的 命名 方法 来 反映 组 织 结构 并 进行 管理 授权 。 顺 着 组 织 结构 进行 颗粒 化 的 管理 授 
权 可 以 解决 很 多 管理 上 的 头疼 问题 ,在 加 强 中 央 管 理 的 同时 ,又 不 失 机 动 灵活 性 。 

2. 物理 结构 

微软 活动 目录 中 ,物理 结构 与 逻辑 结构 有 很 大 的 不 同 , 它 们 是 彼此 独立 的 两 个 概念 。 
逻辑 结构 侧重 于 网 络 资源 的 管理 ,而 物理 结构 则 侧重 于 网 络 的 配置 和 优化 。 活 动 目录 的 
物理 结构 主要 着 眼 于 活动 目录 信息 的 复制 和 用 户 登 录 网 络 时 的 性 能 优化 。 物 理 结构 的 两 
个 重要 概念 是 站 点 和 域 控制 器 。 


I 


12 


计算 机 网 络 管理 与 安全 (第 2 版 ) 


domainl.com/OU1 domainl.com/OU2/0U3 


图 1-3 组 织 结构 的 层次 结构 


(1) 站 点 是 由 一 个 或 多 个 IP 子 网 组 成 的 ,这 些 子 网 通过 高 速 网 络 设备 连接 在 一 起 。 
站 点 往往 由 企业 的 物理 位 置 分 布 情况 决定 ,可 以 依据 站 点 结构 配置 活动 目录 的 访问 和 复 
制 拓扑 关系 ,这 样 能 使 得 网 络 更 有 效 地 连接 ,并 且 可 使 复制 策略 更 合理 ,用 户 登录 更 快速 ， 
活动 目录 中 的 站 点 与 域 是 两 个 完全 独立 的 概念 ,一 个 站 点 中 可 以 有 多 个 域 ,多 个 站 点 也 可 
以 位 于 同一 域 中 。 

活动 目录 站 点 和 服务 可 以 通过 使 用 站 点 提高 大 多 数 配置 目录 服务 的 效率 。 可 以 通过 
使 用 活动 目录 站 点 和 服务 向 活动 目录 发 布 站 点 的 方法 提供 有 关 网 络 物理 结构 的 信息 , 活 
动 目录 使 用 该 信息 确定 如 何 复 制 目 录 信 息 和 处 理 服务 的 请 求 。 计 算 机 站 点 是 根据 其 在 子 
网 或 一 组 已 连接 好 的 子 网 中 的 位 置 指定 的 , 子 网 提供 一 种 表示 网 络 分 组 的 简单 方法 ,这 与 
我 们 常见 的 邮政 编码 将 地 址 分 组 类 似 。 将 子 网 格式 化 成 可 方便 发 送 有 关 网 络 与 目录 连接 
物理 信息 的 形式 ,将 计算 机 置 于 一 个 或 多 个 连接 好 的 子 网 中 充分 体现 了 站 点 所 有 计算 机 
必须 连接 良好 这 一 标准 ,原因 是 同一 子 网 中 的 计算 机 的 连接 情况 通常 优 于 网 络 中 任意 选 
取 的 计算 机 。 

(2) 域 控制 器 是 指 运 行 Windows Server 版 本 的 服务 器 , 它 保 存 了 活动 目录 信息 。 域 
控制 器 管理 目录 信息 的 变化 ,并 把 这 些 变化 复制 到 同一 个 域 中 的 其 他 域 控制 器 上 ,使 各 域 
控制 器 上 的 目录 信息 处 于 同步 。 域 控制 器 也 负责 用 户 的 登录 过 程 以 及 其 他 与 域 有 关 的 操 
作 , 如 身份 鉴定 .目录 信息 查找 等 一 个 域 可 以 有 多 个 域 控制 器 。 规 模 较 小 的 域 可 以 只 需要 
两 个 域 控制 器 ,一 个 实际 使 用 ; 另 一 个 用 于 容错 性 检查 。 规 模 较 大 的 域 可 以 使 用 多 个 域 控 
制 器 。 


1.3.2 组 策略 


组 策略 (Group Policy) 是 管理 员 为 用 户 和 计算 机 定义 并 控制 程序 、 网 络 资源 及 操作 
系统 行为 的 主要 工具 。 通 过 使 用 组 策略 可 以 设置 各 种 软件 .计算 机 和 用 户 策略 。 组 策略 
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是 Windows 中 的 一 套 系统 更 改 和 配置 管理 工具 的 集合 。 注 册 表 是 Windows 系统 中 保存 
系统 软件 和 应 用 软件 配置 的 数据 库 ,而 组 策略 则 将 系统 重要 的 配置 功能 汇集 成 各 种 配置 
模块 ,供用 户 直 接 使 用 ,从 而 达到 方便 管理 计算 机 的 目的 。 

组 策略 的 设置 数据 保存 在 AD 数据 库 中 ,因此 必须 在 域 控制 器 上 设置 组 策略 。 组 策 
略 只 能 够 管理 计算 机 与 用 户 。 也 就 是 说 组 策略 是 无 法 管理 打印 机 、 共 享 文件 夹 等 其 他 对 
象 的 。 组 策略 不 能 应 用 到 组 ,只 能 够 应 用 到 站 点 、 域 或 组 织 单位 (SDOU)。 组 策略 不 会 影 
响 未 加 入 域 的 计算 机 和 用 户 , 对 于 这 些 计 算 机 和 用 户 , 应 使 用 本 地 安全 策略 来 管理 。 

1. 组 策略 的 设置 数据 

组 策略 的 设置 数据 都 是 保存 在 “组 策略 对 象 %《(GPO) 中 ,GPO 具有 以 下 特性 : 

(1) GPO 利用 ACL 记录 权限 设置 ,可 以 修改 个 别 GPO 的 ACL, 指 定 哪些 人 对 该 
GPO 拥有 何 种 权限 。 

(2) 用 户 只 要 有 足够 的 权限 , 便 能 够 添加 或 删除 GPO, 但 无 法 复制 GPO。 当 AD 域 
刚 建 好 时 ,默认 仅 有 一 个 GPO 一 一 DEFAULT DOMAIN POLICY。 这 个 GPO 可 用 来 管 
理 域 中 所 有 的 计算 机 与 用 户 。 若 要 设置 应 用 于 组 织 单位 的 组 策略 ,通常 会 再 另行 建立 
GPO, 以 方便 管理 。 

(3) GPO 本 身 保存 组 策略 的 设置 值 ,必须 要 进一步 指定 GPO 连接 哪 一 个 SDOU , 才 
能 使 组 策略 在 应 用 对 象 生效 。GPO 与 SDOU 间 的 连接 关系 如 图 1-4 所 示 , 可 以 是 一 对 
一 ,一 对 多 或 多 对 一 。 


加 SDOU 间 的 连接 关系 


2. GPO 的 两 大 类 策略 

(1) 计算 机 设置 : 包含 所 有 与 计算 机 有 关 的 策略 设置 ,这 些 策略 只 会 应 用 到 计算 机 
账户 。 

(2) 用 户 设 置 : 包含 所 有 与 用 户 有 关 的 策略 设置 ,这 些 策略 只 会 应 用 到 用 户 账户 ,如 
图 1-5 所 示 。 

3. 组 策略 的 应 用 机 制 

两 项 特性 : 继承 与 累加 。 

策略 继承 : 在 AD 结构 中 , 若 X 容器 下 层 还 有 Y 容器 , 则 Y 容器 便 是 所 谓 的 “ 子 容 
器 ”,X,Y 容器 两 者 间 便 存在 策略 关系 。 在 默认 情况 下 子 容器 会 继承 来 自 上 层 容器 的 
GPO。 在 整个 继承 关系 中 ,最 上 层 为 站 点 ,其 下 层 为 域 与 组 织 单位 。 若 有 多 层 组 织 单位 ， 
则 下 层 组 织 单位 会 继承 上 层 组 织 单位 的 GPO, 如 图 1-6 所 示 。 

策略 累加 : 策略 累加 机 制 和 组 策略 的 应 用 顺序 有 密切 的 关系 。 子 容器 会 首先 应 用 继 
承 来 自 上 层 容 器 的 组 策略 ,然后 再 应 用 本 身 的 组 策略 , 当 上 层 的 设置 项 目 与 下 层 的 设置 项 
目 不 同 时 ,组 策略 的 效果 可 以 相 加 ,但 车 是 对 同一 个 项 目 做 不 同 的 设置 , 则 先 应 用 的 策略 
会 被 后 来 应 用 的 策略 覆盖 。 但 是 我 们 可 以 根据 实际 应 用 需求 去 人 为 地 干预 默认 的 继承 规 
则 ,可 以 阻止 或 强制 继承 。 

阻止 继承 : 在 “组 策略 管理 ”控制 台中 ,右键 选择 是 否 继承 上 一 级 容器 组 策略 的 容器 ， 
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Ls; 自 组 第 陷 管 理 编辑 器 [ea 


文件 F) 操作 查看 WV) 帮助 00 
各 虽 | 方 加 | 蕊 | 加 机 


习 软 件 设置 
加 Windows 设置 
加 管理 模板 


i | 
图 1-5 组 策略 的 内 容 


5 子 OU 策 略 


4 父 OU 策略 


2 站 点 策略 
1 本 地 安全 策略 


1-6 组 策略 的 继承 关系 


选择 “阻止 继承 ”, 如 图 1-7 所 示 。 
强制 继承 : 在 实际 应 用 中 有 时 需要 上 一 级 容器 的 组 策略 配置 被 应 用 到 子 容器 中 去 ， 
并 且 要 求 在 冲突 时 不 被 子 容器 的 策略 覆盖 ,这 时 就 可 以 使 用 强制 继承 ,如 图 1-8 所 示 。 


作用 域 | 详细 信息 | 设置 | 委派 | 
ED 


在 此 位 置 内 显示 摆 接 0) Fie. 习 
下 到 站 点 、 域 和 组 织 单位 榜 按 到 比 cr0 GD) 


第 1 章 网 络 管理 概述 


天 文件 四 ， 氮 作 0) 查看 W 盏 Do 帮助 0 | 
和 中 | 7 外 | 口 | 光量 GI 日 辑 | 


军 拉 3 有 弟 梧 对象 | 组 第 中 继承 | 委派 | 


1-7 阻止 继承 


1.4 ”基于 局 域 网 的 网 络 监控 软件 


随 着 计算 机 网 络 技术 的 普及 ,网 络 在 信息 的 采集 ,加 工 和 处 理 上 起 着 越 来 越 重 要 的 作 
用 。 但 如 何 规范 网 络 使 用 者 的 行为 ,保证 网 络 上 的 信息 安全 是 一 个 或 待 解决 的 问题 ,网 络 
监控 软件 在 这 方面 进行 了 有 益 的 探索 。 


1.4.1 网 络 监控 软件 概述 


网 络 监控 软件 是 指针 对 局 域 网 内 的 计算 机 进行 监视 和 控制 ;针对 内 部 计算 机 上 的 互 
联网 以 及 内 部 行为 与 资产 等 过 程 管理 。 局 域 网 监控 的 有 效 范 围 是 以 监控 点 为 基点 半径 没 
有 跨越 路 由 范围 的 局 域 网 。 因 为 局 域 网 监控 需要 捕获 ISO 模型 中 的 第 二 层 数据 包 (MAC 
层 帧 ) 以 解析 网 络 传输 包 协 议 以 及 确认 监视 对 象 需求 ,而 穿 过 路 由 后 就 无 法 捕获 了 。 因 此 
我 们 能 简单 地 理解 Internet 用 户 之 间 是 不 能 互相 监视 的 ,能 做 的 只 是 监控 自己 本 单位 范 
围 的 计算 机 。 

局 域 网 外 网 监控 软件 (上 网 行为 管理 、 网 络 行为 审计 、 内 容 监 视 、 上 网 行为 控制 ) 应 包 
含 以 下 基本 功能 : 通过 局 域 网 内 任何 一 台 计 算 机 监视 、 记 录 、 控 制 其 他 计算 机 的 上 网 行 
为 ;能 实现 上 网 监控 、 网 页 浏览 监控 、 邮 件 监 控 、Webmail 发 送 监视 、 聊 天 监控 、BT 禁止 、 
流量 监视 、 上 下 行 分 离 流量 带宽 限制 .并 发 连接 数 限制 .FTP 命令 监视 .FTP 内 容 监视 、 
FTP 行为 控制 Telnet 命令 监视 、 网 络 行为 审计 、 操 作 员 审计 、 软 网 关 功 能 、 端 口 映 射 和 
PPPOE 拨号 支持 、 通 过 Web 方式 发 送 文件 的 监视 、 通 过 IM 聊天 工具 发 送 文 件 的 监视 和 
控制 等 。 

用 于 全 程 监视 和 控制 管理 网 络 内 所 有 用 户 上 外 网 的 过 程 。 能 够 探测 ,拦截 \ 收 集 、 禁 
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止 和 管理 整个 上 网 资源 ,规范 网 络 有 效 合法 使 用 。 防 止 单位 重要 资料 ` 机 密 文 件 等 的 泄 
密 ; 监 督 审 查 网 络 使 用 行为 ;备份 重要 网 络 资源 文件 :限制 邮件 、 网 站 、 聊 天 游戏. 股票 、 下 
载 流量 以 及 自 定义 网 络 应 用 等 行为 ,并 可 以 作为 软 网 关 运 行 。 

局 域 网 内 网 监控 软件 (内 网 行为 管理 .屏幕 监视 、 软 硬件 资产 管理 数据 安全 ) 应 包含 
以 下 基本 功能 : 用 于 监视 计算 机 开机 后 的 所 有 操作 情况 ,能 够 全 程 管 理 和 控制 内 网 计算 
机 的 全 部 过 程 ;支持 内 网 监控 ,屏幕 监视 和 录像 、 软 硬件 资产 管理 .光驱 和 USB 等 硬件 禁 
止 \ 应 用 软件 限制 .打印 监控 、ARP 防火 墙 、 消 息 发 布 .日 志 报 警 、 远 程 文件 自动 备份 功能 、 
禁止 修改 本 地 连接 属性 禁止 聊天 工具 传输 文件 ,禁止 修改 本 地 连接 属性 、 通 过 网 页 发 送 
文件 监视 .远程 文 件 资源 管理 ,支持 远程 关机 注销 等 ;一 般 情况 下 ,内 网 监控 需要 在 被 监视 
计算 机 安装 工作 站 软件 。 


1.4.2 外 网 监控 中 使 用 的 主要 技术 

1. 数据 侦 听 技术 

(1) 网 关 模式 : 原理 是 把 本 机 作为 其 他 电脑 的 网 关 ( 设 置 被 监视 计算 机 的 默认 网 关 
指向 本 机 ) ,分 别 可 以 作为 单 网 卡 方式 和 双 网 卡 甚至 多 网 卡 方式 ,原始 的 Proxy 模式 淘汰 
后 已 不 再 有 人 采用 ,常用 的 是 NAT 存储 转发 的 方式 ;简单 说 有 点 像 路 由 器 工作 的 方式 ; 
控制 力 强 ,由 于 存储 转发 的 方式 ,性 能 有 些 损失 ;效率 好 ;缺陷 是 网 关 坏 了 ,全 网 就 竣 痰 了 。 

(2) 网 桥 模式 : 原理 是 双 网 卡 做 成 透明 桥 , 而 桥 是 工作 在 第 二 层 的 ,所 以 可 以 简单 理 
解 为 桥 为 一 条 网 线 , 因 此 性 能 是 最 好 的 ,几乎 没有 损失 ; WinPcap 本 身 并 不 支持 该 模式 ; 
该 模式 可 以 说 是 最 理想 的 了 ,即使 桥 坏 了 ,只 要 简单 做 个 跳 线 就 可 以 了 ,因为 桥 是 透明 的 ， 
可 以 看 成 网 线 , 桥 坏 了 可 以 理解 为 网 线 坏 了 ,只 需 换 一 条 而 已 ;支持 多 VLAN., 无 线 、 
VPN 多 出 口 等 几乎 所 有 的 网 络 情况 。 

(3) 旁 路 模式 : 原理 是 使 用 ARP 技术 建立 虚拟 网 关 , 只 能 适合 于 小 型 的 网 络 ,并 且 
环境 中 不 能 有 限制 旁 路 模式 ;路 由 或 火 墙 的 限制 或 被 监视 计算 机 安装 了 ARP 火 墙 都 会 
导致 无 法 旁 路 成 功 ;但 该 方式 是 最 简单 的 部 署 以 及 最 方便 的 安装 设置 。 

(4) 旁听 模式 : 原理 是 旁 路 监听 ,是 通过 交换 机 的 镜像 功能 来 实现 监控 的 ,该 模式 需 
要 采用 共享 式 Hub 或 交换 机 镜像 ;可 是 如 果 采 用 老式 的 共享 式 Hub 将 影响 网 络 出 口 性 
能 ;如 采用 镜像 模式 ,一 方面 需要 投资 支持 双向 的 镜像 交换 机 设备 ; 另 一 方面 需要 专业 的 
人 设置 镜像 交换 机 。 该 模式 的 优点 是 部 署 方便 灵活 ,只 要 在 交换 机 上 配置 镜像 端口 即 可 ， 
不 需要 改变 现 有 的 网 络 结构 ;而 且 旁 路 监控 设备 一 旦 停止 工作 ,也 不 会 影响 网 络 的 正常 运 
行 。 缺 点 在 于 ,旁听 模式 通过 发 送 RST 包 只 能 断 开 TCP 连接 ,不 能 控制 UDP 通信 ,如 果 
要 禁止 UDP 方式 通信 的 软件 ,需要 在 路 由 器 上 做 相关 设置 进行 配合 。 

2. Windows 平台 上 获取 数据 包 技术 

Windows 平台 上 获取 数据 包 技术 主要 包括 核心 层 驱 动 和 网 络 层 驱动 两 种 方式 。 

(1) 核心 层 驱 动 和 Windows 操作 系统 核心 结合 紧密 ,效率 非常 高 .性 能 最 好 ;因为 网 
络 防火 墙 都 在 网 络 上 层 运行 (也 就 是 说 在 防火 墙 核 心 层 驱 动 上 面 运行 ), 因 此 核心 层 驱 动 
将 不 受 网 络 防 火 墙 干 扰 ; 功 能 更 加 强大 ,性 能 更 好 ; 如 Kercap 驱动 标准 接口 、Anyview 
Nat Service 内 核 驱 动 。 


第 1 章 ”网络 管理 概述 


Kercap 内 核 抓 包 驱 动 引擎 是 国内 自主 研发 的 具有 世界 伺 千 沦 汪 和约 6 一 中 坊 驱 


应 用 
动 程序 ,利用 IMD 技术 实现 的 Kercap 内 核 抓 包 引 擎 在 稳 完 1 他 
技术 实现 方式 有 极 大 的 优势 , 比 传统 的 WinPcap 内 核 程序 Wpcap.dll 大 
的 网 络 抓 包 。 


Anyview Nat Service 是 国内 自主 研发 并 且 是 世界 最 先 
驱动 引擎 之 一 ,十 年 以 上 实际 批量 规模 运行 。 该 技术 采用 
内 核 驱 动 技 术 , 类 似 卡巴 斯 基 的 内 核 技术 直接 嵌入 Windo' 
火 墙 干扰 ,并 比 网 络 层 驱 动 快 百倍 以 上 。 更 强大 的 性 能 ,更 
功能 ,更 好 的 性 能 ;可 以 支持 成 千 上 万 个 计算 机 的 同时 监控 

(2) 网 络 层 驱 动 , 虽然 容易 控制 管理 但 性 能 根本 无 法 
墙 限制 和 干扰 ;实例 如 WinPcap 驱动 接口 。 

WinPcap(Windows Packet capture) 是 Windows 平台 下 一 一 个 更 红 -公共 | 的 网 络 访问 
系统 。WinPeap 可 以 为 Windows 32 应 用 程序 提供 访问 网 络 怠 其 的 车 号 = 的 模 

它 提供 了 以 下 的 各 项 功能 : 

。 捕获 原始 数据 包 , 包 括 网 络 上 各 主机 发 送 / 接 收 的 以 及 相互 之 间 交 换 的 数据 包 ; 

。 在 数据 包 发 往 应 用 程序 之 前 ,按照 自 定义 的 规则 将 某 些 特殊 的 数据 包 过 滤 掉 ， 

。 在 网 络 上 发 送 原始 的 数据 包 ; 

。 收集 网 络 通信 过 程 中 的 统计 信息 。 

WinPcap 由 三 个 模块 构成 ,如 图 1-9 所 示 。 

。 NPF(Netgroup Packet Filter) 即 网 络 组 包 过 滤器 : 它 是 运行 于 操作 系统 内 核 中 的 
驱动 程序 ,直接 与 网 卡 驱动 程序 进行 交互 ,获取 网 络 上 传输 的 原始 数据 包 。 同 时 
还 可 以 发 送 、 存 储 数 据 包 以 及 对 网 络 进行 统计 分 析 。 

Packet. dll 动态 链接 库 : 它 为 Windows 32 平台 提供 了 一 个 公共 的 接口 ,不 同 版 本 
的 Windows 系统 都 有 自己 的 内 核 模块 和 用 户 层 模 块 。Packet. dll 用 于 解决 这 些 
不 同 , 调 用 Packet. dll 的 程序 可 以 运行 在 不 同 版 本 的 Windows 平台 上 而 无 须 重 
新 编译 。 

Wpcap. dll 高 级 动态 链接 库 : 该 动态 链接 库 比 Packet.dll 更 高 级 , 它 的 调用 与 操作 
系统 无 关 , 它 和 应 用 程序 编译 在 一 起 ,使 用 由 Packet.dll 提供 的 服务 ,向 应 用 程序 
提供 完善 的 接口 函数 ,提供 了 更 高 层 、 更 抽象 的 函数 。 

WinPcap 是 目前 免费 的 接口 程序 ,支持 100M 通信 。 但 缺点 也 同样 是 明显 的 ,可 控制 
性 很 差 导致 很 多 功能 都 无 法 实现 。 只 能 在 监听 模式 工作 ,无 法 实现 网 关 模 式 下 运行 ,导致 
流量 限制 .BT 限制 .UDP 阻 断 方面 等 天 生 的 弱点 。 另 外 由 于 WinPcap 版 本 互相 不 兼容 
可 能 导致 无 法 监控 ,无 法 识别 千 兆 网 卡 或 无 法 读 到 网 卡 列表 等 。 

3. 业务 识别 技术 

(1) 普通 报 文 分 析 。 

普通 “ 报 文 检测 " 仅 分 析 数 据 包 的 第 二 至 第 四 层 的 内 容 , 包 括 源 地 址 \ 目 的 地 址 、 源 端 
口 .目的 端口 以 及 协议 类 型 。 普 通报 文 检测 是 通过 端口 号 来 识别 应 用 类 型 的 ,如 检测 到 端 
口号 为 80 时 ,就 认为 该 应 用 代表 着 普通 上 网 应 用 。 
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(2) 基于 “特征 字 ” 的 识别 技术 。 

不 同 的 应 用 通常 依赖 于 不 同 的 协议 ,而 不 同 的 协议 都 有 其 特殊 的 指纹 ,这 些 指纹 可 能 
是 特定 的 端口 .特定 的 字符 串 或 者 特定 的 比例 序列 。 基 于 “特征 字 ” 的 识别 技术 通过 对 业 
务 流 中 特定 数据 报 文 中 的 “指纹 ”信息 的 检测 以 确定 业务 流 承载 的 应 用 。 

根据 具体 检测 方式 的 不 同 ,基于 “特征 字 ” 的 识别 技术 又 可 以 分 为 固定 位 置 特征 字 匹 
配 、 变 动 位 置 特征 匹配 以 及 状态 特征 匹配 三 种 技术 。 

通过 对 “指纹 ”信息 的 升级 ,基于 特征 的 识别 技术 可 以 很 方便 地 进行 功能 扩展 ,实现 对 
新 协议 的 检测 。 

如 Bittorrent 协议 的 识别 ,通过 反 向 工程 的 方法 对 其 对 等 协议 进行 分 析 , 所 谓 对 等 协 
议 指 的 是 peer 与 peer 之 间 交 换 信息 的 协议 。 对 等 协议 由 一 个 握手 开始 ,后 面 是 循环 的 
消息 流 ,每 个 消息 的 前 面 ,都 有 一 个 数字 来 表示 消息 的 长 度 。 在 其 握手 过 程 中 ,首先 是 发 
送 19 ,跟着 是 字符 串 BitTorrent Protocol。 那 么 19 Bit Torrent Protocol 就 是 Bittorrent 
的 “特征 字 ”。 

(3) 应 用 层 网 关 识别 技术 。 

某 些 业 务 的 控制 流 和 业务 流 是 分 离 的 ,业务 流 没有 任何 特征 。 这 种 情况 下 ,我 们 就 需 
要 采用 应 用 层 网 关 识 别 技术 。 

应 用 层 网 关 需 要 先 识别 出 控制 流 ,并 根据 控制 流 的 协议 通过 特定 的 应 用 层 网 关 对 其 
进行 解析 ,从 协议 内 容 中 识别 出 相应 的 业务 流 。 

对 于 每 一 个 协议 ,需要 有 不 同 的 应 用 层 网 关 对 其 进行 分 析 。 

如 SIP、H323 协议 都 属于 这 种 类 型 。SIP/H323 通过 信 令 交互 过 程 ,协商 得 到 其 数据 
通道 ,一 般 是 RTP 格式 封装 的 语音 流 。 也 就 是 说 ,纯粹 检测 RTP 流 并 不 能 得 出 这 条 
RTP 流 是 通过 哪 种 协议 建立 的 。 只 有 通过 检测 SIP/H323 的 协议 交互 ,才能 得 到 其 完整 
的 分 析 。 

(4) 行为 模式 识别 技术 。 

行为 模式 识别 技术 基于 对 终端 已 经 实施 的 行为 的 分 析 , 判 断 出 用 户 正 在 进行 的 动作 
或 者 即将 实施 的 动作 。 行 为 模式 识别 技术 通常 用 于 无 法 根据 协议 判断 的 业务 的 识别 。 例 
如 : SPAM( 垃 圾 邮件 ) 业 务 流 和 普通 的 E-mail 业务 流 从 E-mail 的 内 容 上 看 是 完全 一 致 
的 ,只 有 通过 对 用 户 行为 的 分 析 ,才能 够 准确 地 识别 出 SPAM 业务 。 


kB 本 章 小 结 


章 主要 讲述 了 计算 机 网 络 管理 概念 、 功 能 和 实现 网 络 管理 所 使 用 的 主要 技术 。 要 
求学 生理 解 SNMP 的 体系 结构 和 主要 思想 .了解 Windows 操作 系统 用 活动 目录 和 组 策 
略 对 网 络 用 户 和 桌面 进行 管理 的 技术 ,了 解 局 域 网 监控 软件 的 作用 和 其 中 涉及 的 主要 技 
术 , 从 而 对 网 络 管理 技术 有 一 个 总 体 的 理解 ,为 后 续 的 学 习 打下 一 个 良好 的 基础 。 
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时 本 章 习 是 


TL 


. 简 述 网 络 管理 的 主要 功能 和 网 管 软件 的 分 类 。 
. 简 述 SNMP 的 基本 内 容 。 

. 简 述 活动 目录 的 逻辑 结构 和 物理 结构 。 

. 简 述 组 策略 内 容 和 应 用 机 制 。 

. 简 述 局 域 网 监控 软件 包含 的 主要 技术 。 
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活动 目录 管理 


【本 章 重 点 】 

掌握 活动 目录 进行 局 域 网 管理 的 基本 思想 ,活动 目录 域 服务 的 层级 结构 。 掌 握 活动 
目录 中 各 实体 的 管理 理论 和 基本 概念 。 通 过 实例 掌握 在 活动 目录 中 域 . 子 域 . 用 户 、 组 、 
OU 的 设置 和 管理 方法 。 


2.1 活动 目录 中 的 基础 概念 


活动 目录 是 指 集 中 的 、 安 全 的 存储 网 络 资源 信息 的 目录 ,以 及 让 这 些 信息 可 供 网 络 用 
户 使 用 的 所 有 服务 。 网 络 中 的 所 有 资源 包括 用 户 账户 、 文 件数 据 、 打 印 机 、 服 务 器 、 数 据 
库 、 组 ,计算 机 和 安全 策略 等 ,这 些 都 可 以 存储 在 活动 目 
录 中 。 

我 们 也 可 以 把 活动 目录 理解 为 一 个 存储 仓库 ,以 计算 机 
为 操作 工具 ,账户 和 资源 用 统一 的 命名 、 描 述 、 定 位 集中 管理 
起 来 并 保证 这 些 数据 的 安全 。 活 动 目录 通过 域 . 组 织 单位 、 
组 账户 等 组 成 它 的 逻辑 空间 ,图 2-1 是 活动 目录 的 一 个 


示例 。 ;| 
—@ 

2.1.1 域 模 式 下 用 户 与 用 户 组 管理 Hit Pie) 

1. 域 模式 管理 原理 LB sme 

微软 公司 在 其 网 络 操作 系统 中 采用 了 域 模式 来 提高 管 图 2-1 活动 目录 示例 
理 效率 ,其 核心 就 在 于 将 计算 机 加 入 一 个 指定 的 逻辑 单 
元 一 一 域 中 ,然后 对 加 入 其 的 计算 机 实现 统一 高 效 的 管理 , 域 对 整个 网 络 系统 中 的 计算 
机 、 用 户 、 资 源 重新 进行 了 整合 ,以 方便 管理 员 和 计算 机 用 户 的 管理 与 使 用 。 

在 域 模式 的 管理 体系 下 ,整个 网 络 管理 经 过 以 下 4 个 过 程 实现 对 加 入 域 的 所 有 计算 
机 和 用 户 的 综合 管理 。 

(1) 建立 一 个 域 和 域 管理 员 ,如 图 2-2 所 示 。 


域 (thwcom) 
组 织 单 元 (0U1) 
计算 机 组 《Computers》 


计算 机 《computer1) 


多 3 | 用 户 组 (Users) 


账户 1 《Usert) 
sk 单元 (0U2) 


Ee 


| 域 管理 员 


图 2-2 ”建立 域 和 域 管理 员 
(2) 将 被 管理 的 计算 机 加 入 域 中 ,如 图 2-3 所 示 。 


图 2-3 将 计算 机 加 入 指定 的 域 中 
(3) 使 用 域 下 的 管理 员 账 户 建立 新 的 用 户 , 如 图 2-4 所 示 。 


图 2-4 域 管理 员 在 域 中 创建 账户 


(4) 在 域 中 通过 任何 计算 机 对 域 中 的 任何 账户 实现 设置 管理 ,如 图 2-5 所 示 。 

从 以 上 步骤 和 图 示 中 可 以 看 出 , 当 计 算 机 加 入 域 成 为 域 模式 下 的 一 台 客户 机 时 ,针对 
该 计算 机 的 管理 和 针对 用 户 的 管理 一 下 子 就 变 得 简单 了 ,最 终 所 有 用 户 都 可 以 通过 任意 
指定 的 计算 机 访问 任意 计算 机 上 的 文件 夹 且 运 行 权限 允许 的 可 执行 文件 。 

2. 域 模式 下 的 用 户 设置 

当 一 台 计算 机 成 为 域 控制 器 时 ,或 者 当 一 台 计 算 机 加 入 的 域 成 为 域 模式 下 的 一 台 客 
户 机 时 ,每 台 计 算 机 中 的 账户 信息 将 发 生 改变 。 
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图 2-5 在 域 中 通过 域 中 任何 计算 机 实现 设置 管理 


(1) 在 域 控制 器 中 ,原本 地 账户 已 经 不 能 使 用 了 。 因 为 .原本 地 管理 员 的 账户 继续 存 
在 将 有 可 能 破坏 域 服务 器 ,因此 对 域 控制 器 的 管理 和 控制 交 由 域 控制 器 管理 员 完成 。 域 
控制 器 管理 界面 ,如 图 2-6 所 示 。 

当 域 管理 员 登 录 域 控制 器 时 ,在 域 控制 器 中 出 现 了 新 的 账户 管理 界面 。 选 择 * 开 始 ” 一 
“程序 ”~ 一“ 管理 工具 ”后 出 现 了 新 的 功能 选项 “Active Directory 用 户 和 计算 机 ”, 如 
图 2-7 所 示 ,选择 该 命令 可 进入 域 控制 器 账户 的 管理 界面 。 

在 网 络 中 将 计算 机 升级 到 Active Directory 服务 器 后 ,系统 中 “管理 工具 ”的 “计算 机 
管理 ?选项 将 无 法 使 用 ,而 增加 了 一 项 “Active Directory 用 户 和 计算 机 ”选项 ,而 原来 的 
“本 地 用 户 ” 将 迁移 到 Active Directory 用 户 中 , 域 用 户 将 有 更 多 的 属性 。 

在 域 模式 管理 计算 机 的 网 络 中 ,需要 为 使 用 计算 机 的 每 个 人 创建 一 个 域 用 户 账户 。 
当 一 台 计 算 机 成 为 域 控制 器 ,一 台 计 算 机 加 入 的 域 成 为 域 模式 下 的 一 台 客 户 机 时 ,每 台 计 
算 机 中 的 账户 信息 将 发 生 改 变 。 

当 域 管理 员 登 录 域 控制 器 时 在 域 控制 器 中 出 现 了 新 的 账户 管理 界面 。 在 进入 “管理 
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图 2-7 Active Directory 用 户 和 计算 机 


工具 ”后 出 现 了 新 的 功能 图 标 *Active Directory 用 户 和 计算 机 ”, 如 图 2-8 所 示 , 单 击 该 图 
标 即 可 进入 域 控制 器 账户 的 管理 界面 。 

(2) 通过 客户 机 进入 域 控制 器 前 ,系统 出 现 两 个 进入 选项 ,一 个 是 本 地 机 进入 选项 ， 
一 个 是 域 控制 器 选项 ,如 图 2-9 所 示 ,作为 客户 机 如 果 不 进 入 域 环境 则 选择 本 地 机 选项 ， 
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服务 器 管理 器 2008/1/19 快捷 方式 
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国共 享 和 存储 管理 2008/1/19 快捷 方式 
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2-8 “管理 工具 ”中 的 新 功能 图 标 


如 果 进 入 域 则 选择 域 选项 。 作 为 客户 机 的 本 地 管理 账户 ,仍然 保留 对 本 地 计算 机 进行 控 
制 的 权力 。 

(3) 域 模式 下 的 默认 账户 。 

在 域 控制 器 中 ,与 本 地 机 情况 相同 ,存在 着 系统 创建 的 默认 账户 ,这 些 账 户 有 其 特定 
的 功能 与 权限 ,如 图 2-10 所 示 。 

对 特殊 账户 的 说 明 如 下 : 

。 Domain Admins( 域 管理 员 ) ,用 于 域 范 围 内 的 管理 ,拥有 最 高 权限 。 

。 Administrator( 本 地 ( 域 控制 器 ) 管 

理 员 ), 用 于 域 控 制 器 计算 机 自身 


登录 到 Windows 


的 管理 。 
。 Domain( 其 他 默认 账户 ) ,如 图 2-10 
所 示 。 
在 基于 域 模式 下 的 Windows Server | sme FE 二 
2008 的 账户 信息 变 得 异常 丰富 , 域 管理 员 | 3 到: 
被 赋予 了 极 大 的 权力 ,对 于 所 有 加 入 域 中 加 二 
的 用 户 的 账户 信息 都 要 进行 管理 和 维护 ， CW EECOES| 


而 账户 信息 将 被 域 中 所 有 有 权 获 取 账 户 信 
息 的 各 个 部 门 所 使 用 ,从 这 点 可 以 看 出 ,对 
域 模式 下 的 账户 管理 涵盖 了 用 户 的 诸多 信息 。 
注意 : 建议 在 设置 用 户 账户 密码 时 不 要 只 是 有 规律 的 字母 ,因为 这 样 极 易 被 网 络 攻 
击 者 猜 中 ,降低 了 网 络 的 安全 防范 能 力 。 
3. 域 模式 下 的 组 概念 
在 Windows Server 2008 的 域 控制 器 中 ,组 是 一 个 非常 重要 的 概念 与 应 用 ,账号 是 进 


2-9 客户 机 进入 域 控制 器 前 界面 
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图 Active Directory 用 户 和 计算 机 
文件 F) 操作 查看 VW 帮助 00 
钊 中 || 辐 | 省 日 | 次 日 GG 号 | 卓 梧 | 名 久生 梓 可 名 


可 Adv Directory 用 户 和 | 
司 保存 的 查询 


管理 计算 机 同 ) 的 内 置 
忠和 如 loved RODC Passwerd Replication 6. 本 地 域 。 允许 将 此 组 中 成 员 的 密 - 
中 Cert Publishers 安全 组 - 本 地 域 此 组 的 成 员 被 允许 发 布 
品 Denied EDDC Password Replication Group 安全 组 - 本 地 域 。 不 允许 将 此 组 中 成 员 的 ， 
中 Dnskhdnins 安全 组 - 本 地 域 。 DRS Adninistrators 组 
取 Dnspaateproxy 安全 组 - 全 局 多 许 苦 其 他 客户 消 


- 全 局 指定 的 域 管理 员 
安全 组 - 全 局 加 入 到 域 中 的 所 有 工作 


s 安全 组 - 通用 企业 的 指定 系统 管理 员 
号 Enterprise Read-only Domsin Control.,， 安全 组 - 通用 该 组 的 成 员 是 企业 中 的 
人 


到 cromp Policy Creator Orners 安全 组 - 全 局 个 组 中 的 成 员 可 以 修 

Guest 用 户 供 来 宾 访问 计算 机 或 访 

中 RS and IAS Servers 安全 组 - 本 地 域 。 “这 个 组 中 的 服务 器 可 以 . 

说 Resd-only Donain Controllers 安全 组 - 全 局 此 组 中 的 成 员 是 域 中 只 

全 Adnins 安全 组 - 通用 。。 架构 的 指定 系统 管理 员 
tt 用 户 


2-10” 域 控制 器 默认 账户 


入 系统 的 身份 证 ,组 是 用 来 简化 、 统 一 管理 账户 的 逻辑 结构 ,利用 组 可 以 把 具有 相同 权限 
需求 ,相同 管理 需求 的 用 户 组 织 放置 在 一 个 逻辑 单元 中 ,进行 批量 管理 ,便于 管理 和 提高 
工作 效率 。 
(1) 组 账号 的 特点 。 
。 组 是 个 逻辑 结构 。 
。 一 个 账户 可 以 同时 加 入 多 个 组 。 
。 当 一 个 用 户 加 入 一 个 指定 组 时 ,该 用 户 账号 就 拥有 了 该 组 所 拥有 的 所 有 权限 。 
例如 : 当 我 们 来 到 企业 进行 实习 时 ,每 位 同学 事先 准备 了 不 同 颜 色 的 帽子 ,这 时 领队 
通知 大 家 , 戴 红 色 帽 子 的 同学 进 左手 门 , 戴 黄色 帽子 的 同学 进 右 手 门 ,这 时 在 各 个 门口 守 
卫 的 保安 并 不 认识 同学 ,可 他 会 根据 每 个 人 所 戴 帽子 的 颜色 来 判别 是 否 允 许 进 入 。 所 以 
帽子 赋予 了 每 位 同学 相应 的 权利 ,帽子 就 是 我 们 要 表示 的 一 种 逻辑 组 。 
(2) Windows Server 2008 组 的 分 类 。 
在 Windows Server 2008 中 因 组 的 作用 不 同 ,建立 了 不 同类 型 的 组 ,组 有 两 种 类 型 ， 
即 通 信 组 和 安全 组 。 
。 通信 组 : 用 来 组 织 用 户 账号 ,没有 安全 性 ,在 通信 组 组 中 可 以 存储 用 户 账号 等 信 
息 ,可 用 于 微软 的 其 他 相关 软件 .如 Exchange 2008 Server, 如 图 2-11 所 示 。 
。 安全 组 : 除了 通信 组 所 具备 的 功能 外 ,主要 是 用 于 为 用 户 和 计算 机 设置 权限 , 它 
是 Windows Server 2008 权限 管理 的 重要 组 成 部 分 ,安全 组 主要 是 对 所 包含 的 账 
户 在 资源 对 象 中 的 访问 控制 ,如 图 2-12 所 示 。 
(3) Windows Server 2008 组 的 范围 。 
组 的 范围 是 用 来 管理 组 的 作用 域 的 ,在 域 中 根据 组 的 范围 进行 分 类 ,有 三 种 类 型 , 即 
全 局 组 .本 地 组 和 通用 组 。 
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26 | EE 习 
中 :thw con/Users ! 型 WF: tw. con/Vsers 
组 名 :组 名 的 
| 
组 名 findovs 2000 以 前 版 本 ) fp) 组 名 QWindows 2000 以 前 版 本 ) 0D): 
Eee 
组 作用 域 组 类 型 组 作用 域 组 类型 
个 本 地 域 O) 个 安全 组 6) 个 本 地 域 四 ) 个 安全 组 GS) 
全 局 @) 个 通信 组 0) 和 全 局 加 ) 个 通信 组 0) 
斑 通用 0D 广 通用 o 
| 
图 2-11 通信 组 图 2-12 安全 组 


。 全 局 组 : 用 来 管理 具有 相同 管理 任务 的 用 户 账号 ,在 该 组 中 只 能 包括 该 组 所 在 域 
的 用 户 账户 ,该 组 可 成 为 域 的 本 地 组 成 员 。 

。 本 地 组 : 与 全 局 组 不 同 ,本 地 组 的 目的 是 为 了 给 本 域 中 的 资源 分 配 权限 ,本 地 组 
只 在 本 域 中 可 见 。 该 组 可 以 包括 任何 域 的 用 户 账号 和 任何 域 的 全 局 组 和 通用 组 。 

。 通用 组 : 具备 了 以 上 两 个 组 的 作用 ,其 成 员 灵 活 , 其 作用 主要 是 在 多 域 模式 下 组 
织 全 局 组 。 

(4) Windows Server 2008 中 的 默认 组 。 

在 一 个 域 搭建 好 后 ,打开 “Active Directory 用 户 和 计算 机 ?工具 中 的 Users 文件 夹 ， 

就 出 现 了 一 些 已 经 存在 的 账户 和 组 ,如 图 2-13 所 示 。 


文件 @)， 操作 (WA) 查看 帮助 00 
和 办 # 口 1X 日 GI 日 加 | 多 名 和 要 下 名 


司 hetive Direetory 用 户 和 - 
本 保存 的 查询 


用 管理 计算 机 赋 ) 的 内 置 . 
配 如 lowed RODC Password Replication 6..， 安全 组 - 本 地 域 。 允许 将 此 组 中 成 员 的 密 . 
能 Cert Publishers 去 全 组 - 本 地 域 。 此 组 的 成 员 被 允许 发 布 
隔 Denied RODC Password Replication Group 安全 组 - 本 地 域 。 不 允许 将 此 组 中 成 员 的 ， 
也 DnshAdnins 安全 组 - 本 地 域 。 DNS Adninistraters 组 
喇 InsUpdatefroxy 安全 组 - 全 局 允许 普 其 他 客户 消 品 ... 


日 请 tw. cm 
国 puiltin 
习 conpaters 
园 Domsin Controller 


回 Foreimseceurityfr 


习 Be Domain Atnins 安全 组 - 全 局 。 “指定 的 域 管 理 中 
中 Donsin Conputers 安全 组 - 全 局 。 。 加 入 到 域 中 的 所 有 工作 .… 
中 Domain Controllers 安全 组 - 全 局 域 中 所 有 域 控制 器 
由 Domain Guests 支 全 组 - 全 局 。 域 的 所 有 来 让 
中 Domain Users 支 全 组 - 全 局 所 有 域 用 户 
忠 Enterprise Mnins 安全 组 - 通用 企业 的 指定 系统 管理 员 
忠 Enterprise Read-only Domain Control. .. 支 全 组 - 通用 该 组 的 成 员 是 企业 中 的 . . . 
鹃 Group Policy Creator Orners 去 全 组 - 全 局 这 个 组 中 的 成 员 可 以 修 .. . 
Guest 用 户 供 来 宾 访 问 计算 机 或 访 
忠 RAS and IAS Servers 去 全 组 - 本 地 域 。 这 个 组 中 的 服务 器 可 以 . 
中 Read-only Domain Controllers 支 全 组 - 全 局 此 组 中 的 成 员 是 域 中 只 . . 
忠 Schena Adnins 安全 组 - 通用 架构 的 指定 系统 管理 员 


Bt 用 户 


图 2-13 已 存在 的 账户 和 组 
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在 这 些 组 中 ,可 以 分 成 4 类 : 预定 义 组 ,内置 组 .内 置 本 地 组 和 特殊 组 。 

Q@ 预定 义 组 : 这 些 组 创建 在 Users 文件 夹 中 .默认 情况 下 为 全 局 组 .没有 任何 继承 权力 。 

例如 : Domain Admins( 域 管理 员 组 ) ,自动 将 该 组 加 入 Administrators, 具 有 域 的 管 
理 权限 。 

Domain Guests( 域 来 宾 组 ) ,具体 解释 说 明 见 文件 夹 中 的 “描述 部 分 ”。 

Domain Users( 域 用 户 组 ) ,自动 加 入 本 地 Users 组 中 ,成 为 域 中 用 户 组 成 员 。 

@ 内 置 组 : 在 Builtin 文件 夹 中 建立 的 组 为 内 置 组 ,如 图 2-14 所 示 。 


因 Active Directory 用 户 和 计算 机 


文件 四) 操作) 查看 W) 帮助 00 
种 中 | 六 | 由 | 口 | 日 GBI 旧 硬 | 各 各 生 笠 百名 
本 Aetivs Direetery 用 户 和 - 


Account Operators 安全 组 - 本 地 域 成 员 可 以 管理 域 用 户 和 组 账户 


国保 存 的 查 鹿 
日 评 tw cm 中 Adninistrators 安全 组 - 本 地 域 管理 员 对 计算 机 / 域 有 不 受 限制 的 完全 ， 
2 Builtin 安全 组 - 本 地 域 备份 操作 员 为 了 备份 或 还 原文 件 可 以 


Conputers 

国 Doain Controller 

习 ForeignSecurityPr 
Vsers 


安全 组 - 本 地 域 允许 该 组 的 成 员 连 接 到 企业 中 的 证 书 ， 
授权 成 员 执行 加 密 操作 。 

安全 组 - 本 地 域 成 员 允 许 启 动 、 汶 活 和 使 用 此 计算 机 . 

安全 组 - 本 地 域 i 


Ev 信和 人 全 
安全 组 - 本 地 域 。。 此 组 的 成 员 可 以 全 键 到 此 林 的 传 入 、 
安全 组 - 本 地 域 ”此 组 中 的 成 员 有 部 分 管理 权限 未 管理 
安全 组 - 本 地 域 。 ”该 组 中 的 世 员 可以 计划 浊 行 性 能 计 示 
安全 组 - 本 地 域 。。 此 组 的 成 员 可以 从 本 地 和 返程 访问 性 
0 Care een 安生 本 二 做 训 二 中 所 用 的 
外 Print Operators 去 全 组 - 本 地 域 。。 成 员 可 以 管理 域 打印 
中 haote Desktop Users rr 
网 Boplicstor 支 全 组 - 本 地 域 。。 “支持 域 中 的 文件 复制 

dE 


ly 器 
安全 组 - 本 地 域 此 组 的 成 员 可 以 使 用 有 关 许 可 证 颁发 
下 we 安全 组 - 本 地 域 防止 用 户 进行 有 意 或 无 意 的 系统 范围 
忠 Yindows Authorization Access Group ”安全 组 - 本 地 域 此 组 的 成 员 可 以 访问 User 对 象 上 经 


4 J 


图 2-14 内 置 组 


这 些 组 都 是 安全 本 地 组 ,提供 预定 义 用 户 权 力 和 权限 的 管理 ,这 些 组 已 经 设置 好 相应 
的 权限 ,如 果 让 那些 用 户 执 行 相应 的 管理 权限 ,只 要 把 这 个 用 户 账号 加 入 对 应 组 中 即 可 。 

Account Operators( 用 户 账 户 操作 员 组 ): 成 员 可 以 管理 域 用 户 和 组 账户 ,但 不 能 修 
改 Administrators 组 的 任何 信息 。 

Administrators( 管 理 员 组 ) : 管理 员 对 计算 机 / 域 有 不 受 限制 的 完全 访问 权 。 

Backup Operators( 备 份 操作 员 组 ): 备份 操作 员 为 了 备份 或 还 原文 件 可 以 替代 安全 
限制 。 

Users( 备 份 操作 员 组 ): 用 户 无 法 进行 有 意 或 无 意 的 改动 。 因 此 ,用 户 可 以 运行 经 过 
验证 的 应 用 程序 ,但 不 可 以 运行 大 多 数 旧版 应 用 程序 。 

@ 内 置 本 地 组 : 该 组 不 属于 活动 目录 域 模式 下 的 组 ,前 面 已 经 讲述 。 

@ 特殊 组 : 该 组 没有 特定 的 用 户 账户 ,但 可 以 在 不 同时 候 代表 不 同 用 户 , 例 如 : 
Everyone( 每 人 组 )。 


2.1.2 组织 单位 
网 络 操作 系统 在 日 常 的 管理 中 有 着 丰富 和 复杂 的 内 容 , 例 如 : 对 账户 使 用 计算 机 的 
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系统 配置 的 管理 ,对 网 络 环境 的 管理 ,对 桌面 设置 的 管理 ,对 安全 设置 的 管理 等 。 在 这 样 
的 需求 下 ,如 果 管 理 员 对 每 个 用 户 账户 都 一 一 进行 设置 , 那 将 是 天 文 数字 的 工作 量 。 因 
此 ,应 当 通 过 一 个 适当 的 方法 简化 这 些 重复 性 工作 。 这 就 要 求 我 们 分 析 企 业 对 员工 进行 
的 管理 活动 。 在 企业 的 日 常 管理 往往 是 按照 部 门 进行 管理 的 ,一 个 部 门 员 工具 有 相同 的 
工作 环境 .工作 要 求 . 相 同 的 权利 ,这 样 就 可 以 把 员工 的 所 有 需求 设置 在 一 个 属于 部 门 的 
管理 制度 或 管理 方法 中 , 当 一 个 员工 加 入 了 该 部 门 时 , 则 所 有 的 要 求 均 依照 部 门 要 求 
执行 。 

在 活动 目录 的 域 模式 中 ,提供 了 一 个 重要 的 概念 与 之 对 应 , 它 就 是 OU。OU 是 非常 重 
要 的 一 个 组 件 , 在 资源 组 织 和 管理 上 起 着 重要 的 作用 , 它 可 以 将 被 管理 的 对 象 统一 放置 在 一 
个 逻辑 机 构 内 ,这 些 对 象 包括 用 户 账 号 .组 账号 .计算 机 、 打 印 机 、 共 享 文件 夹 以 及 子 OU。 
当 这 些 对 象 被 放置 在 OU 容器 后 ,围绕 着 这 个 OU 就 可 以 进行 一 系列 的 管理 设置 了 。 

在 Active Directory 活动 目录 中 的 OU 对 象 ,使 得 整个 域 的 规划 与 管理 更 有 弹性 ,更 
能 发 挥 “分 层 负责 ,授权 自治 ”的 优点 。 或 者 说 ,OU 就 是 一 个 比 域 要 小 的 管理 单元 ,如 果 
善 用 OU ,就 可 以 避免 形成 多 域 的 复杂 架构 。OU 纯粹 是 一 个 逻辑 概念 , 它 可 以 帮助 我 们 
简化 管理 工作 。OU 可 以 包含 各 种 对 象 ,通过 使 用 域 模 式 OU 管理 体系 可 以 使 得 管理 变 
得 简捷 高 效 。 

(1) OU( 组 织 单元 ) 与 组 账号 的 区 别 。 

OU 与 组 账号 都 是 域 模式 下 的 管理 对 象 , OU 管理 的 对 象 更 多 些 ,而 组 账号 只 对 用 户 
账户 在 文件 夹 上 的 权限 进行 管理 。 

当 删 除 组 账号 时 ,组 账号 所 管理 的 用 户 账号 的 逻辑 关系 就 被 打破 、 消 失 ,而 用 户 账户 
本 身 不 会 消失 。 但 删除 了 OU ,在 OU 中 设置 的 信息 、 加 入 管理 的 对 象 将 随 之 删除 。 

(2) OU 与 域 的 关联 。 

域 是 安全 的 边界 , 域 是 操作 系统 对 所 有 与 之 连接 的 计算 机 和 登录 计算 机 的 用 户 账户 
的 全 面 的 管理 ,是 建立 在 活动 目录 中 的 最 全 面 完 善 的 网 络 管理 模式 ,用 户 访问 计算 机 时 需 
先 登录 域 再 进入 OU。 

OU 在 域 模式 中 存在 一 个 具体 的 逻辑 管理 方式 且 依 存 于 域 。 

例如 : 一 个 企业 ,由 各 种 环境 、 各 种 设备 、 各 类 人 、 各 项 工作 构成 ,在 这 个 企业 周边 筑 
起 围墙 ,这 个 围墙 就 是 域 ,围墙 内 的 一 切 受 到 了 保护 ,围墙 内 的 一 切 都 有 着 自己 的 天 地 且 
相互 协调 相互 帮助 ,围墙 外 面 的 一 切 受 到 限制 ,要 想 进 入 企业 必须 通过 安检 和 授权 ,如 
图 2-15 所 示 。 

在 这 个 企业 中 每 个 人 都 有 自己 的 分 工 , 都 有 自己 的 职权 范围 ,最 重要 的 是 每 位 员工 都 归 
属 到 一 个 部 门 , 因 为 企业 的 管理 模式 .工作 类 别 、 权 力 范 围 都 有 着 对 不 同类 别 工 作 的 规范 性 
要 求 , 因 此 建立 各 个 专业 部 门 ,一 般 情 况 下 有 技术 .人 事 、 财 务 等 部 门 ,如 图 2-16 所 示 。 

在 一 个 部 门 有 一 定 的 员工 ,有 该 部 门 专用 的 设备 .自己 独特 管理 方式 ,有 统一 的 着 装 、 
特殊 的 办 公 环 境 , 以 及 独特 的 安全 管理 规定 。 

通过 这 些 我 们 看 出 一 个 企业 内 部 众多 的 员工 ,被 归属 到 各 个 部 门 ,各 个 部 门 又 有 自己 
相对 独立 的 管理 方式 。 而 这 些 独立 的 部 门 就 是 我 们 所 讲 的 OU( 组 织 单元 ) ,各 个 部 门 的 
独立 的 管理 规范 就 是 我 们 将 要 在 后 面 讲述 的 组 策略 。 
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企业 ( 域 ) 
(OU) 


图 2-15 企业 构架 图 图 2-16 企业 机 构 示意 图 


2.2 域 和 子 域 的 建立 


2.2.1 Active Directory 创建 域 控制 器 


Windows Server 2008 系统 的 Active Directory( 活 动 目录 ) 服 务 和 以 前 的 版 本 相 比 ， 
其 不 同 之 处 是 : 可 以 通过 “服务 器 管理 "的 角色 添加 来 完成 初始 化 的 准备 工作 。 

(1) 选择 “开始 "一 “管理 工具 ”一 服务 器 管理 器 ”命令 ,显示 “服务 器 管理 器 ”窗口 , 单 
击 “ 服 务 器 管理 器 ” 左 侧 列表 中 的 “角色 ”选项 ,如 图 2-17 所 示 。 


四 角色 : 已 安装 0 ( 共 16) 


《3 上 次 局 新 时 间 : 2008/11/16 11:47:44 配置 忆 新 


图 2-17 服务 器 管理 器 
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30 (2) 启动 添加 角色 向 导 。 
在 “服务 器 角色 ”列表 中 色 选 “Active Directory 域 服务 ”, 如 图 2-18 所 示 , 此 时 ,系统 
会 自动 弹出 对 话 框 。 


选 色 
Pi 择 服务 器 角 
开始 之 前 


上 的 一 个 或 多 个 角色 * 


Active Directory 域 服 务 
确认 
进度 
结果 


手 述 : 
六 
刘 FE 


《< 上- 步 四 | [下 - 步 四 >] Fu | mn 


2-18 选择 服务 器 角色 


要 求 安装 “. NET Framework 3. 5. 1 功能 ”, 因 为 Active Directory 在 Windows 
Server 2008 上 必须 有 该 功能 的 支持 ,如 图 2-19 所 示 。 


到 
全 是 否 添加 Active Directory 域 服务 所 需 的 功能 ? 
“三 无 法 安装 Aetive Directory 域 服务 ， 除 丰 已 安装 所 大 的 功能 。 
功能 加 据 述 
日 .了 ET Framework 3.5.1 功能 村 
JET Franework 3.5.1 将 .ET Pa x 2.0 API 的 功能 与 用 
能 的 应 用 程序 的 新 技术 


铺 合 在 一 起 ; 提供 吸引 人 的 用 户 界 面 ， 保 
护 客 户 的 个 人 标识 信息 ， 支 持 无 颖 和 安全 
下 为 一 系列 业务 流程 模型 提供 了 可 


ams | ms | 


4 
2-19 ”添加 所 需 功能 


所 以 在 此 必须 单 击 “ 添 加 必需 的 功能 ”按钮 ,返回 “选择 服务 器 角色 ”对 话 框 后 单 击 “ 下 
一 步 ”, 然 后 按 安 装 向 导 的 提示 进行 “下 一 步 ” 的 安装 ,如 图 2-20 所 示 。 

当 出 现 “ 安 装 结果 ”对 话 框 时 ,如 果 没 有 错误 ,就 证 明 Active Directory 的 安装 准备 已 
经 完成 ,但 是 由 于 该 台 计 算 机 还 不 能 完全 正常 运行 DC, 所 以 提示 需要 启用 Active 
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Sevive 3 了 
[OB 使 用 Metive Direetery 域 服务 安装 向 导 (4cprene_exe) 使 服务 总 成 为 全 


.ET Franevork 3.5.1 功能 
-ET Ereneverk 3.5.1 


2-20 ”确认 安装 选择 


Directory 安装 向 导 (dcpromo. exe) 来 完成 安装 ,如 图 2-21 所 示 。 可 以 直接 单 击 “ 关 闭 该 
向 导 并 启动 Active Directory 域 服务 安装 向 导 (dcpromo. exe)” 进 入 安装 向 导 , 也 可 以 直 
接 单 击 “ 关 闭 ” 按 钮 之 后 ,手动 打开 Active Directory 安装 向 导 。 


闫 六合 号 并 启 汉 Aetive Direetery 城 服务 安装 向 导 (dcpreee ex4)。 
个 .IPT prevork 3.5.1 功能 加 雪 半 成功 


已 安装 以 下 功能 : 
-MET Fronevork 3.5.1 


图 2-21 安装 角色 结果 
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(3) 运行 dcpromo 命令 安装 活动 目录 ”上 E 
服务 。 二 Windows 要 | 司 革 HR 入 的 名 称 ,为 多 于 相 应 的 程序 . 

在 网 络 服务 器 上 安装 Windows Server 
2008 操作 系统 后 ,使 用 dcpromo 命令 启动 3 本 or|4enq 区 
活动 目录 的 安装 向 导 .如 图 2-22 所 示 。 an 

单 击 * 确 定 ” 后 .启动 “Active 机 


域 服务 安装 向 导 ”, 单 击 “ 下 一 步 *, 巩 二 | 天 到 | 


图 2-23 所 示 。 
(4) 弹出 “操作 系统 兼容 性 ”对 话 框 , 单 
击 “ 下 一 步 ” 按 钮 ,如 图 2-24 所 示 。 


2-22 ”运行 dcpromo 命令 


闻 Active Directory 域 服务 安装 向 导 


计 梁 仿 因 Active Directory 域 服务 
站 
二 i i Directory 
On Active 
Directory 域 控制 


厂 使 用 高 级 模式 安装 A) 
信和 中 梧 用 的 村 他 选 顺 9 尝 细 


有 关 hctive Directory 域 服务 的 详细 信息 


un | 
图 2-23 启动 Active Directory 域 服务 安装 向 导 


rectory 域 服务 安装 向 号 


氛 作 系统 兼 性 
Yindows Server 2008 和 Windows Server 2008 R2 中 改进 的 安全 设置 时 [| 
-人 


响 旧 版 Windows 


Seryi， 以 
包括 由 Aetive Directory 迁移 工具 或 Yindovs 


此 涟 的 要 多 请 条 各 942564 
Ne | Ci 。 


_ | 
2-24 ”操作 系统 兼容 性 


ee 
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(5) 进入 “选择 某 一 部 署 配置 ”对话 框 ,安装 向 导 提 供 Active Directory 安装 模式 , 包 ”JB 引 
括 在 现 有 Active Directory 中 添加 域 控 制 器 ( 现 有 林 ) 和 全 新 的 Active Directory( 在 新 林 
中 新 建 域 ) 两 种 ,这 里 我 们 选择 后 者 ,在 新 林 中 新 建 域 来 全 新 安装 Active Directory, 如 
图 2-25 所 示 。 


2-25 在 新 林 中 新 建 域 


(6) 然后 单 击 * 下 一 步 " 按 钮 ,显示 ”命名 林 根 域 " 对 话 框 ,在 “目录 林 根 级 域 的 FQDN” 
文本 框 中 输入 新 根 域 的 名 称 abc. com, 如 图 2-26 所 示 。 


图 2-26 命名 林 根 域 
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34 (7) 单 击 “ 下 一 步 ” 按 钮 ,显示 “设置 林 功 能 级 别 ” 对 话 框 ,在 “ 林 功 能 级 别 " 下 拉 列 表 框 
中 选择 欲 使 用 的 安装 模式 ,如 图 2-27 所 示 。 


闻 Active Directory 域 服务 安装 向 导 


设置 林 功 能 级 别 于 
选择 林 功 能 级 别 。 B 
林 功 能 级 别 EE): 

[rss | 
详细 信息 四 ): 
有 Server 2003 HH 在 Windows 2000 可 <^ 
= 1 瑟 可 以 改革 对 组 成 员 身 份 
总 地 生成 夏 杂 夏 制 
网 


A td Windows Server 2003 或 更 高 版 本 的 


有 关 域 和 林 功 能 奶 别 6 详细 信息 


一 | 
图 2-27 设置 林 功 能 级 别 


(8) 单 击 “ 下 一 步 " 显 示 “ 其 他 域 控制 器 选项 "对话 框 。 默 认 在 林 根 服务 器 安装 DNS 
服务 器 ,如 果 网 络 中 使 用 单独 的 DNS 服务 器 ,可 以 取消 选中 “DNS 服务 器 ” 复 选 框 , 如 
图 2-28 所 示 。 


闻 hetive Direetery 域 服务 安装 向 导 
其 他 域 控制 器 选项 


取 滑 | 
图 2-28 其 他 域 控制 器 选项 


(9) 单 击 “ 下 一 步 ”, 这 时 系统 会 检查 本 系统 是 否 是 静态 IP 地 址 ,查找 DNS 的 父 区 
域 。 我 们 使 用 静态 IP 地 址 ,如 图 2-29 和 图 2-30 所 示 。 
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@I ictive Directory 嫩 服 务 安 亲 向 导 


到 38 
ETE Ed 


国 " A 5 wt 


这 是 (DD， 该 计算 机 将 使 用 动态 分 配 的 I 地 址 
(不 推荐 )。 


7 dl 


《上 一 步 @) | 下 一 步 0D >| 取消 


图 2-29 安装 DNS 服务 器 IP 地 址 检测 


mpnmny m 
ctory 域 服务 安装 向 号 


PE 


Ee i i 
全 HH 元 洁 扫黄 
Ee i 有 和 


《< 上- 步 刀 | 下 -- 步 > 取消 


图 2-30 DNS 父 区 域 检测 


注意 : 由 于 默认 在 林 根 服务 器 安装 DNS 服务 器 ,因此 在 这 里 使 用 的 本 主 域 控制 器 的 
IP 地 址 为 DNS 地 址 。 

(10) 单 击 “ 是 ” ,继续 “下 一 步 " 显 示 “ 数 据 库 \ 日 志文 件 和 SYSVOL 的 位 置 ? 对 话 框 ， 
建议 将 这 三 个 文件 夹 都 分 开 存储 在 不 同 的 物理 磁盘 中 ,这 样 可 以 保证 数据 安全 , 提高 
Active Directory 的 性 能 ,如 图 2-31 所 示 。 


(11) 单 击 * 下 一 步 ?按钮 ,显示 “目录 服务 还 原 模式 的 Administrator 密码 ”对 话 框 , 密 
码 建 议 要 符合 强 密码 策略 要 求 , 如 图 2-32 所 示 。 
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闻 Active Directory 域 服务 安装 向 导 


数据 库 、 日 志文 件 和 STSYOL 的 位 置 E 习 
提交 人 Active Direetery 域 控 制 器 数据 库 、 日 志文 件 和 SYSYOL 的 四 权 


为 获得 更 好 的 性 能 和 可 恢复 性 ， 请 将 教 据 库 和 日 志文 件 存 铺 在 不 同 的 卷 上 F。 


数据 库 文件 夹 0): 
dows\HIDS] 


EE \Windows\HTDS) 浏览 BR).. . 
日 志文 件 文件 夹 中 : 

[C:\Windows\HTDS 浏览 0)... 
SYSYOL 文件 夹 8); 

FE: Windows\SISYOL 浏览 0 
有 关 询 需 Active Directory 域 服 务 文件 的 详细 信息 


图 2-31 确定 数据 库 、 日 志文 件 和 SYSVOL 的 位 置 


[而 Aetive Directory 域 服务 安装 向 导 
目录 服务 还 原 模式 的 Adninistrator 密码 


目录 服务 还 原 模式 Adninistrator 账户 不 同 于 域 Aaninistrator 账户 。 


pe! 这 原 模式 启动 此 二 


密码 @): [7] 
确认 密码 CC); [Le 
关于 目录 服务 还 原 檀 式 密 胡 的 详 姻 信 息 


《< 上-- 步 四 取消 


图 2-32 为 目录 服务 还 原 模 式 设置 Administrator 密码 


(12) 单 击 “下 一 步 ? 显 示 * 摘 要 ”对 话 框 , 显 示 Active Directory 设置 信息 ,可 以 使 用 
“导出 设置 ”按钮 导出 并 保存 成 文本 文件 ,如 图 2-33 所 示 。 

(13) 单 击 “ 下 一 步 ”按钮 ,开始 安装 Active Directory ,如 果 选 择 “ 完 成 后 重新 启动 " 复 
选 框 ,可 以 在 完成 安装 后 自动 重新 启动 计算 机 ,如 图 2-34 所 示 。 

(14) 安装 完成 ,显示 “完成 Active Directory 域 服务 安装 向 导 ” 对 话 框 。 单 击 “ 完 成 ” 
按钮 ,关闭 安装 向 导 , 重 新 启动 计算 机 后 ,活动 目录 (Active Directory) 安 装 成 功 , 如 
图 2-35 所 示 。 


到 
要 更 忆 选 项, 单 击 “ 上 一 步 ”。 要 开始 操作 , 单 击 “ 下 一 步 ”。 


EE 此 设置 导 出 一 个 应 和 文件 中 以 用 于 其 他 无 人 。。 导出 设置 ED) 
en 


< 上 - 步 刀 [下 - 步 加 > 取消 


图 2-33 摘要 


市 Active Directory 域 服务 。 此 过 程 可 能 需要 几 分 钟 到 几 小 时 ， 


忆 


等 待 DNS 安装 完成 


图 2-34 正在 配置 活动 目录 


闻 Active Direetery 域 服务 安装 向 导 划 | 
诅 Active Directory 域 服务 安装 
| 


， 已 在 下 
| ctive Directory 
将 此 Active Directory 


foul t-Pirst-Site- Hameo 


irectory 站 点 和 服务 管理 


若 要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”* 


ms | 


图 2-35 ”完成 活动 目录 域 服务 器 的 安装 
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38 2.2.2 ”创建 子 域 控制 器 
前 面 已 经 讲 了 如 何 新 建 域 控 制 器 ,现在 我 们 讲解 如 何 建立 子 域 。 首 先 ,保证 主 域 控 制 
器 是 开启 状态 ,然后 我 们 再 打开 一 台 工 作 组 计算 机 ,做 以 下 配置 工作 。 
IP 地 址 : 192. 168.1.2。 
子 网 掩 码 : 255. 255. 255. 0。 
DNS 地 址 : 192. 168. 1. 1( 写 主 域 控制 器 的 IP 地 址 ) 。 
(1) 单 击 “ 开 始 ” 一 “运行 ”, 输 入 dcpromo ,出 现 了 “Active Directory 域 服务 安装 向 导 ” 
对 话 框 ,如 图 2-36 所 示 。 


人 Active Directory 域 服务 
LO er 


厂 使 用 高 级 模式 安装 A) 
Rt 


有 关 Activs Dirsctory 域 服务 的 详细 信息 


ma | 
图 2-36 域 服务 器 安装 向 导 
(2) 单 击 * 下 一 步 "出 现 * 选 择 某 一 部 署 配置 "对 话 框 ,我 们 选择 * 现 有 林 ”, 因 为 我 们 现 


在 是 做 子 域 ,是 一 个 新 的 域 控制 器 但 是 要 建立 在 现 有 的 林 中 ,所 以 选择 “在 现 有 林 中 新 建 
域 ", 如 图 2-37 所 示 。 


间 Active Directory 域 服务 安装 向 导 


选择 某 一 部 署 配置 
您 可 为 现 有 林 或 新 林 凶 建 域 控制 器 。 


全 


人 现 有 林 吕 ) 
个 向 现 有 域 未 加 域 控制 器 A) 


人 在 现 有 林 中 新 建 域 C) 
此 服务 器 将 成 为 新 域 中 的 第 一 个 域 控制 器 。 


个 在 新 林 中 新 建 域 中 ) 


| 
图 2-37 ”选择 在 现 有 林 中 新 建 域 
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(3) 这 里 我 们 输入 父 域 中 主 域 控制 器 的 管理 员 和 密码 (在 第 一 个 案例 中 我 们 建立 的 ”'39 
主 域 ) , 域 里 写 父 域 的 域名 abc. com, 在 输入 凭证 对 话 框 中 输入 主 域 控制 器 的 用 户 名 及 其 
密码 ,如 图 2-38 所 示 。 


Actuive Directory 坛 服务 安装 向 导 


网 络 凭据 
泪 在 其 上 执行 安装 的 林 的 名 称 ， 以 及 有 具有 执行 安装 所 需 的 足够 权限 的 。 二 二 
订 是 < 下 


键入 位 于 计划 安装 此 域 控制 器 的 林 中 任何 域 的 名 称 CD) 


[as cm 


2 串 
他 备用 人 所 只: 


[sainistreter 设置 @).. 


图 2-38 网 络 凭证 


(4) 单 击 “ 确 定 ” 并 与 父 域 建 立 了 联系 后 ,会 出 现 “ 命 名 新 域 " 对 话 框 ,在 “ 父 域 的 FQDN” 
文本 框 中 写 父 域 的 DNS 全 名 abc. com , 子 域 里 写 sub 就 可 以 了 ,我 们 可 以 在 “新 域 子 域 的 
FQDN” 中 看 到 显示 出 sub. abc. com, 这 个 就 是 我 们 要 建立 的 子 域 ,如 图 2-39 所 示 。 


命名 新 域 


“村 


Rn, 或 单 击 “ 浏 览 "选中 它 。 然 后 输入 新 子 域 的 
的 Fn) 


[ec SD. 


例如 : corp. contoso. com 


[eb she eom 
例如 : headquarters corp. contoso. com 


上- 步 @[ 下 -四 让 | 
图 2-39 输入 要 建立 的 子 域名 字 
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a0 (5) 单 击 * 下 一 步 *, 系 统 开始 验证 域名 ,如 图 2-40 所 示 。 


2-40 ”验证 域名 


(6) 当 系 统 验证 域名 通过 后 ,出 现 * 域 NetBIOS 名 称 ” 对 话 框 ,如 图 2-41 所 示 。 我 们 
在 “ 域 NetBIOS 名 称 ” 文 本 框 中 输入 子 域 中 域 控制 器 的 NetBIOS 名 一 一 ASUKA。 


ive Directory 拭 服 = EE 


域 WetBI0s 名 称 E 习 
这 是 Windows 早期 版 本 的 用 户 用 于 标识 新 域 的 名 称 。 - 


2-41 域 NetBIOS 名 称 


(7) 单 击 “ 下 一 步 ” 后 出 现 的 对 话 框 如 图 2-42 所 示 。 
(8) 单 击 “ 下 一 步 ” 后 面 出 现 的 对 话 框 如 图 2-43 所 示 ,选择 与 服务 器 所 在 的 站 点 。 
(9) 单 击 “ 下 一 步 " 后 出 现 的 对 话 框 如 图 2-44 所 示 ,为 此 控制 器 选择 其 他 选项 。 
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Ae 


Directery 域 服务 安装 向 导 加 41 
设置 枯 功 能 级 别 
选择 才能 名 别 。 


- serEasswer inetOreFerson 和 用 户 J 
日 和 Windows Server 2003 或 更 高 版 本 的 


有 关 域 和 林 功 能 绍 别 的 9 诈 生 信息 


— ma | 
2-42 设置 域 功能 级 别 


闻 hctive Directory 域 服务 安装 向 导 [9 
请 


ee 和 | 
为 新 域 控制 器 选择 一 个 站 点 。 加 -4 
厂 合用 与 砂 计 算 机 的 TP J 


《上 -- 步 中 | 下 =- 步 吧 > 取消 
图 2-43 选择 一 个 站 点 


有 关 其 他 才 拧 割 器 选 I99 详 如 信息 


《上 - 步 呈 [下 - 步 中 让 取消 | 
图 2-44 其 他 域 控制 器 选项 
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42 (10) 单 击 “ 下 一 步 ” 后 出 现 的 对 话 框 如 图 2-45 所 示 ,选择 与 控制 器 相关 的 数据 文件 
的 存储 位 置 。 


闻 hctive Directory 域 服务 雪 装 向 导 


孝 据 库 、 日 志文 件 和 SISYOL 的 位 轩 壬 
es Active Directory 域 控制 器 数据 库 、 日 志文 件 和 SYSY0L 的 ”上 王 | 
天。 < 


为 获得 更 好 的 性 能 和 可 恢复 性 ， 请 将 数据 库 和 日 志文 件 存 依 在 不 同 的 卷 上 。 


数据 库 文件 夹 0): 

[En oso] 浏览 四 
日 志文 件 文件 夹 ) : 

FF: winaovsumms 浏览 四 
SYSYOL 文件 夹 @) : 

FE winaovs\srsvDL 浏览 四 


有 关 壮 置 Aetive Diractery 域 服务 立 件 的 详细 信息 


| 
2-45 ”数据 库 \ 日 志文 件 和 SYSVOL 的 位 置 


(11) 完成 子 域 的 建立 ,如 图 2-46 所 示 。 它 为 建立 子 域 的 “摘要 ”。 


3 新 子 域 中 的 第 一 个 Active Directory 瑾 控制 器 。 < 
新 域 命名 为 “sub. abe. com” | 
域 的 NatBI0S 名 称 为 “SUB” 

该 新 域 是 域 “abe con” 的 子 域 。 

陆 点 : Defanlt-First-Site-Nane 

其 他 选项 : 加 
要 更 改选 项 ， 单 击 “ 上 一 步 ”。 要 开始 操作 ， 单 击 “ 下 一 步 ”* 


昌 1 导出 设置 EE) - 


| 
图 2-46 子 域 “摘要 ” 


(12) 如 果 上 述 摘要 显示 的 不 符合 要 求 .我 们 可 以 单 击 * 上 一 步 ” 去 进行 修改 ,如 果 都 
符合 要 求 则 单 击 “ 下 一 步 ” 后 完成 Active Directory 域 服务 器 安装 向 导 , 即 完成 子 域 
sub. abc. com 的 配置 ,如 图 2-47 所 示 。 
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诅 a Directory 域 服务 安装 


图 2-47 完成 Active Directory 域 服务 器 安装 向 导 


2.3 ”创建 域 环境 下 的 用 户 、 组 和 OU 


2.3.1 域 模式 下 用 户 账 户 的 管理 

1. 域 模式 下 的 账户 建立 

在 已 经 安装 完 活动 目录 ,成 为 域 控制 器 的 服务 器 中 的 用 户 的 建立 是 通过 “Active 
Directory 用 户 和 计算 机 ?完成 的 ,具体 操作 步骤 如 下 : 

(1) 打开 “开始 ”菜单 ,选择 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”, 如 
图 2-48 所 示 。 


图 2-48 ”启动 *Active Dircetory 用 户 和 计算 机 ” 


全 .计算 机 网 络 管理 与 安全 (第 2 版 ) 


44 (2) 启动 *Active Dircetory 用 户 和 计算 机 ”后 ,在 控制 台中 右 击 Users, 依 次 选择 “新 
建 ”>“ 用 户 ” 命 令 , 如 图 2-49 所 示 。 


[EE ] 
管理 计算 机 同 的 内 置 
允许 将 此 组 中 成 员 的 密 
此 组 的 成 员 被 允许 发 布 
不 允许 将 此 组 中 成 员 的 
DNS Adninistrators 组 
区 许 若 其 他 容 户 消 匣 
指定 的 域 管理 员 


加 入 到 域 中 的 所 有 工作 - 
域 中 所 有 域 控制 器 
域 的 所 有 来 宾 

所 有 域 用 户 

企业 的 指定 系统 管理 员 
该 组 的 成 员 是 企业 中 的 
这 个 组 中 的 成 员 可 以 修 
供 来 宾 访 问 计算 机 或 访 
这 个 组 中 的 服务 器 可 以 
此 组 中 的 成 员 是 域 中 只 
架构 的 指定 系统 管理 员 


-本 
-本 . 
-本 . 
-本 . 
- 全 局 
- 全 局 
- 全 局 
- 全 局 
- 全 局 
全 局 
通用 
通用 
全 局 
本 
全 局 
8 - 通用 


2-49 ”创建 用 户 
(3) 在 “新 建 对 象 -用 户 ” 对 话 框 中 输入 用 户 的 姓名 及 用 户 登录 信息 ,如 图 2-50 所 示 。 


| 
2 :thy con/Vsers 


姓 0: 四 

So): 英文 编 S50): 门 
姓名 的 : [TT 
用 户 登 录 名 on 


团 [ethw com 了 
用 户 登 录 名 indows 2000 以 前 版 本 ) 0 : 
rm | 


了 | 
图 2-50 输入 账户 信息 (1) 


注意 : 在 输入 账户 信息 时 ,可 以 输入 中 文 作为 用 户 登 录 名 。“ 新 建 对 象 " 中 登录 名 是 
该 账户 登录 域 时 使 用 的 名 字 , 姓 、 名 的 输入 内 容 只 是 作为 账户 登录 信息 ,与 登录 域 时 输入 
的 账号 无 关 。 

(4) 单 击 “ 下 一 步 ” 按 钮 为 用 户 设置 密码 ,其 操作 与 第 1 章 建 立 账户 的 操作 相同 ,按照 
中 文 向 导 操 作 提示 完成 ,如 图 2-51 所 示 。 

在 建立 密码 后 对 话 框 中 有 4 个 选项 ,分 别 表示 密码 使 用 时 的 设置 方式 。 

。 用 户 下 次 登录 时 需 更 改 密码 ,表示 该 账户 第 一 次 登录 域 中 的 计算 机 时 ,系统 要 求 
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FE > 45 


1 :thn con/Vsers 


< 上 -~ 步 [下 - 步 加 > 了 消 


2-51 输入 账户 信息 (2) 


你 必须 更 改 密码 ,这样 保 证 用 户 自己 掌握 自身 账户 的 密码 。 
。 用 户 不 能 更 改 密码 ,表示 账户 自己 没有 权利 对 自身 账户 密码 进行 修改 ,必须 通过 
域 控制 器 管理 员 完 成 。 
。 密码 永 不 过 期 ,表示 账户 设置 的 密码 ,不 会 因 系统 默认 密码 有 效 期 到 期 而 要 求 用 
户 修改 ,密码 始终 有 效 。 
。 账户 已 停 用 ,表示 当前 账户 如 果 不 能 在 域 中 继续 使 用 , 则 选择 该 项 ,使 账户 停 用 ， 
而 不 是 删除 账户 信息 。 
2. 域 模式 下 的 账户 属性 
域 账户 是 在 域 范围 内 都 可 以 登录 的 用 户 , 这 就 需要 用 户 向 系统 提供 更 多 信息 ,以 便于 
向 域 中 有 权 索 取 账 户 信息 部 门 提供 有 效 的 信息 。 域 模式 下 的 账户 管理 涵盖 了 用 户 如 下 信 
息 ,如 图 2-52 所 示 。 
在 图 2-52 中 ,出 现 了 十 多 项 选项 ,涵盖 了 上 账户 的 很 多 信息 ,下 面 简单 介绍 一 下 。 
常规 .地址 .电话 ,单位 标签 ,这些 信息 是 账户 的 个 人 信息 ,用 于 拥有 权限 的 账户 查询 。 
账户 选项 卡 的 上 半 部 分 与 本 地 账户 信息 没有 区 别 , 但 下 半 部 分 包括 了 众多 的 信息 , 它 
们 主要 是 有 关 账 户 安全 方面 的 设置 ,如 图 2-53 所 示 。 其 中 账户 过 期 是 指 账户 的 存活 期 ， 
可 以 选择 “ 永 不 过 期 "或 “在 此 之 后 ”过 期 。“ 在 此 之 后 ”是 指 在 此 日 期 之 后 .该 用 户 不 能 登 
录 到 系统 中 了 。 
在 域 控 制 器 管理 的 网 络 系统 中 ,账户 可 以 被 限制 进入 系统 和 使 用 系统 ,这 种 限制 归纳 
为 5 个 指定 , 即 
。 指定 的 账户 一 一 用 户 进 入 计算 机 的 凭证 。 
。 指定 的 计算 机 一 一 用 户 在 指定 的 计算 机 进入 系统 。 
。 指定 的 时 间 一 一 用 户 在 规定 的 时 间 进入 系统 。 
。 运行 指定 的 程序 一 一 用 户 只 能 调用 指定 的 应 用 软件 。 
。 访 问 指定 资源 一 一 用 户 只 能 访问 指定 的 文件 夹 和 对 文件 夹 进行 指定 的 处 理 。 


区 


| 
由 


| 


图 2-52 账户 常规 信息 图 2-53 账户 选项 


在 这 5 个 指定 中 ,“ 指 定 的 计算 机 ”和 “指定 的 时 间 ” 是 在 账户 设置 中 完成 的 。“ 指 定 的 
计算 机 ?就 是 “登录 到 ?按钮 对 应 的 选项 ,如 图 2-54 所 示 。 


图 2-54 账户 在 指定 计算 机 登录 


用 户 可 以 在 所 有 计算 机 登录 ,也 可 被 限制 在 指定 的 计算 机 上 登录 ,在 图 2-54 中 单 击 
“所 有 计算 机 ? 单 选 按钮 ,就 是 允许 该 账户 可 以 通过 任何 计算 机 登录 。 但 是 在 企业 实际 应 
用 中 ,出 于 对 特殊 用 户 的 安全 要 求 , 是 不 允许 使 用 非 本 人 使 用 的 专用 计算 机 或 部 门 之 外 的 
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计算 机 的 ,这 时 ,这 些 用 户 的 登录 地 点 就 要 进行 约束 ,例如 : 财务 部 门 的 用 户 ,不 能 随意 使 ”47 
用 网 络 中 的 任何 计算 机 而 只 能 在 财务 办 公 室 使 用 本 部 门 计算 机 ,因此 这 样 的 用 户 就 需要 


在 此 进行 设置 。 

当 单 击 “下 列 计算 机 ? 单 选 按钮 时 ,就 会 出 
现 输入 计算 机 名 提示 ,这 时 请 输入 该 账户 要 登 
录 的 计算 机 名 称 ,然后 单 击 “ 添 加 ”, 这 样 该 账 
户 就 只 能 通过 指定 计算 机 登录 到 域 控制 器 管 
理 的 网 络 系统 中 了 。 如 果 该 用 户 需要 从 多 台 
计算 机 登录 ,可 重复 输入 多 台 计 算 机 的 名 称 ， 
如 图 2-55 所 示 。 

在 “指定 的 时 间 ” 设 置 中 ,对 登录 域 控制 器 
的 账户 可 以 限制 在 一 个 特定 的 时 间 范 围 内 , 单 
击 “ 登 录 时 间 ” 出 现 如 图 2-56 所 示 的 提示 。 在 
登录 时 间 设 置 对 话 框 中 可 以 设置 指定 的 日 期 
和 指定 的 时 间 ,使 得 用 户 只 能 在 规定 的 时 间 内 
登录 域 控制 器 。 


运行 指定 程序 和 访问 制定 资源 通过 其 他 技术 手段 实现 ,我 们 在 后 面 会 


本 录 I 作 法 “一 、、 
Me 
。 此 用 户 可 以 登录 到 : 


| 


个 所 有 计算 机 C) 
三 下 列 计算 机 CD) 


2-55 ”账户 从 多 台 指 定 计算 机 登录 设置 


讲 到 。 


x 


只 | 下 | 室 a 1 


把 六 服务 配置 文件 | co 
| 本 要 文件 | 电话 | 单位 | 隶属 于 


i mm: 


[hh lu 可 


用 户 登 录 名 (findovs 2000 以 前 版 本 ) 0) - 


t1 的 登录 时 间 EE 


EE 


星期 六 从 0:00 点 到 0:00 点 


了 2.4.6.8 a Ce |] 


取消 


上 ciraarn 
| 所 8 录 中 ) 


图 2-56 账户 登录 时 间 设 置 


3. 账户 的 删除 


在 我 们 日 常 的 系统 管理 中 ,主要 是 对 系统 资源 和 账户 的 管理 ,在 账户 管理 中 经 常 


出 现 


原来 创建 的 账户 不 使 用 的 情况 ,主要 有 : 实验 用 账户 , 误 操作 建立 的 账户 ,临时 账户 和 禁 
用 的 账户 ,对 于 这 些 账 户 ,只 有 在 一 个 账户 真正 作废 不 用 才 有 删除 的 必要 ,建议 对 暂时 不 


使 用 的 账户 先 禁用 。 过 了 一 段 时 间 后 


,再 删除 被 禁用 的 账户 。 
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“2.3.2 域 模式 下 组 的 管理 

通过 设置 用 户 组 的 属性 ,可 以 设置 用 户 组 的 作用 域 ,组 类 型 .其 所 包含 的 用 户 、 所 隶属 
的 用 户 组 及 管理 者 等 内 容 。 在 实际 组 的 使 用 时 ,有 关 组 的 设置 包括 以 下 几 个 具体 的 工作 ， 
通过 以 下 工作 对 组 进行 有 效 的 维护 。 

1. 组 账号 建立 

域 模 式 下 组 的 建立 具体 操作 如 下 : 

打开 “Active Directory 用 户 和 计算 机 ”工具 中 的 Users 文件 夹 ,依次 选择 新建 ”一 
“组 ”命令 ,如 图 2-57 所 示 。 


国 Active Directory 用 户 和 计算 机 

文件 中， 操作 ON) 查看 w)。 帮助 0 

外 只 | 四 IW 口 1 日 SBI 日 加 | 名 久生 也 可 入 
[型 | 


习 hetive Directory 用 户 和 计算 4 [ 老 稀 ”| 类 型 
器 国保 让 的 查询 
日 遍 tw cm 


5 管理 机 虐 ) 的 内 嗜 . 
忠 同 ovea R .， 安全 组 - 本 ..， 允许 将 此 组 中 成 员 的 密 . 


四 Duiltin 忠 cert Publ. 。 安全 组 - 本 . .， ”此 组 的 成 员 被 多 许 发 布 
田 国 Conputers 忠 Denied RD0..， 安 全 组 - 本 不 允许 插 此 组 中 成 员 的 
田 国 Dt Controllers 


中 Inshdnins 安全 组 - 本 DNS Adninistrators 组 
昌国 ESecsrityrrinci ee te 允许 着 其 他 客户 演 如 
加 指定 的 域 管理 员 

全 局 。 加 入 到 域 中 的 所 有 工作 
域 中 所 有 域 控制 器 


说 8 的 成 员 是 企业 中 的 
这 个 组 中 的 成 员 可 以 修 
供 来 宾 访问 计算 机 或 访 
组 -本 这 个 组 中 的 服务 器 可 以 
组 - 全 局 。 此 组 中 的 成 员 是 域 中 只 
组 - 通用。 架构 的 指定 系统 管理 员 


2-57 创建 组 (1) 


在 创建 组 对 话 框 中 输入 属性 相应 的 信息 并 设置 组 作用 域 . 组 类 型 ,然后 单 击 “确定 ”， 
如 图 2-58 所 示 。 


区 

中 人 于: thw con/Vsers 
组 名 的); 
并 
组 名 (indows 2000 以 前 版 本 ) 人 ) 

组 作用 域 组 类 型 

个 本 地 域 @) 他 安全 组 G) 

6 全 局 @ 个 通讯 组 四 ) 

个 通用 如 


2-58 创建 组 (2) 
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2. 组 成 员 的 添加 49 
(1) 打开 选择 要 加 入 账户 的 指定 组 的 属性 窗口 ,并 单 击 “ 成 员 ” 标 签 , 如 图 2-59 所 示 。 


图 Acvive。 Directory 用 户 和 计算 机 
文件 F) 操作 查看 W) 帮助 00 
S 成 员 管理 者 

| NE | lls| 
可 Netive Directory 用 户 和 计算 和 成 员 咖 : 
田 国 保存 的 查询 
日 欧 th cm 

田 国 Builtin 

田 加 Conputers 

田 加 Domain Controllers 

田 问 ForeignSecurityprinciF 

3 Vs 


忠 Denied 了 Active Directory 域 服务 文件 夹 
中 DnsAdnins 

中 RhAS and I 

中 IDnslpdate 

中 Doain Ad. 

妃 Domain co 

中 Doain co. 

中 Donain ca .. 

忠 Doain Users 


添加 om) | 觅 了 (8) 
CD nw | 


2-59 组 属性 中 的 成 员 选 项 卡 


(2) 单 击 “添加 ”高 级 ”立即 查找 ”命令 ,出 现 被 选用 户 账户 ,如 图 2-60 所 示 。 


| 
选择 此 对 象 类 型 65); 
网 FP 组 或 6 开 
查找 范围 
pre 0... 
一 般 性 查询 | 
SN [En a[ 区 TT 到 | 
指示 0): [EN 为 二 | 立 名 执 m | 
三 禁用 的 帐户 外 ) tr | 


自 上 次 富 录 后 的 天 数 C) 上 了 2 


A 管 机 
EA oxy 允许 普 其 他 

纯 Donain Adnins 指定 的 域 管 理 员 。 thw. com/Users 
号 Domain Conputers 加 入 到 域 中 thw_ com/Users 
纯 Domain Controllers 域 中 所 有 域 thw. com/Users 
中 Domain Guests 域 的 所 有 来 宾 。。 thw. com/Vsers 
态 Donain Users 所 有 域 用户 thw. com/Users 


图 2-60 查找 账户 


(3) 选中 要 加 入 组 的 用 户 账户 , 单 击 “ 确 定 ”, 如 图 2-61 和 图 2-62 所 示 ,就 完成 了 用 户 
的 添加 。 
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常规 。 成 员 | 隶属 于 | 管理 者 | 


| 


We | mA | saw | 
图 2-61 添加 账户 图 2-62 确定 账户 (1) 
3. 组 成 员 的 删除 


在 指定 组 对 话 框 选 中 指定 用 户 ,然后 单 击 “ 删 除 ”按钮 ,这 样 就 可 将 指定 用 户 从 指定 组 
中 删除 ,如 图 2-63 所 示 。 


4. 用 户 加 入 组 


(1) 打开 要 加 入 组 账户 的 指定 账户 的 属性 对 话 框 , 并 单 击 * 隶 属于 ”标签 ,显示 已 经 配 


置 的 组 嵌 套 ,在 Windows Server 2008 中 ,可 以 在 域 功能 级 别 的 基础 上 进行 组 嵌 套 。 在 该 
选项 卡 中 ,可 以 根据 需要 添加 或 删除 所 隶属 的 组 ,如 图 2-64 所 示 

[crt CTS 
常规 。 成 员 | 隶属 于 | 管理 者 | 拨 入 | 环境 | 会 活 | 运程 控制 | 


| 终端 服务 醒 置 文件 | col 
成 员 0: 常规 | 地 址 | 账户 | 配置 文件 | 电话 | 单位 。 隶属 于 
EE 隶属 于 0) : 


rs thw. com/Builtin 
Domain Users 。 thw con/Vsers 
thw, con/Builtin 


rw | 
了 Domain Users 


图 2-63 确定 账户 (2) 图 2-64 账户 属性 


(2) 单 击 “ 添 加 ”一 “高 级 ”>“ 立 即 查 找 ”, 出 现 被 选 组 ,如 图 2-65 所 示 。 


名 称 稀 : [起 权 为 可 

vw FE EEE 
所 区 用 的 帐户 (B) 
三 帮 过 期 天 如 吧 


下 上 次 可 录 后 的 天 数 志 2 下 一 


纯 Adninistraters thw, con/Bui. 
艳 巾 1owed RODC Password Replication 6. 允许 将 此 组 thw, con/Vsers 
鲍 5aclmp Operators thw, com/Bui 
艳 cert Publishers 此 组 的 成 员 ， thw, com/Users 
契 certificate Service DCON Access thw. con/Bui. 
让 crrptomaphie Operators thw, com/Bui 
和 嫩 Denied RODC Password Replication Group 不 允许 将 此 . thw. com/Users 
钨 Distributed CON Users thy. con/Bui, 


纯 Dnshdnins DNS Adninis， thy. com/Users 


2-65 组 账户 查找 


选 定 要 加 入 的 组 , 单 击 确定 ,完成 用 户 账 户 加 入 组 的 操作 。 
5. 组 的 重 命名 


在 建立 好 组 账号 后 ,往往 因为 各 种 原因 要 修改 组 名 ,这 时 ,组 中 的 成 员 不 变 ,系统 对 组 


权限 的 设置 与 管理 不 会 发 生 任何 变化 ,如 图 2-66 所 示 。 


疾 Acti ve Directory 用 户 和 计算 机 
文件 F) 操作 查看 W 帮助 00 
OlXE 
可 edive Directory 用 户 和 计算 天 
田 国 保存 的 查询 不 允许 将 此 组 中 成 员 的 
日 请 tbw con DNS Adninistrators 组 
田 国 puiltin 这 个 组 中 的 服务 器 可 以 
图 国 Conputers 爷 许 普 其 他 容 户 油 如 
田 国 Domain Controllers 指定 的 域 管 理 员 
田 加 ForeienSecarityPrinciF 加 入 到 域 中 的 所 有 工作 . 
] Wers 域 中 所 有 域 控制 器 
域 89 所 有 来 宾 
中 Domain Users 所 有 域 用 户 
中 croup Pol 这 个 组 中 的 成 员 可 以 修 


跑 Read-only. 

中 Enterpris. 

中 Enterpris. 

中 Schema Ad 下 9 指定 系统 管理 员 

BAdninistr, 一 |[ 算 机 域 ) 的 内 置 

t Gasst 访问 计算 机 或 访 
dl 


图 2-66 组 名 修改 
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6. 组 的 删除 
当 一 个 组 需要 删除 时 ,可 通过 在 “Active Directory 用 户 和 计算 机 ?工具 中 选中 要 删除 


的 组 ,再 选择 “删除 ”选项 实现 ,如 图 2-67 所 示 。 


y 用 户 和 计算 机 本 - 漂 _=|Dx| 
文件 F) 操作 查看 W 帮助 00 
名 中 | 方 | 加 | 六 口 | 半日 SG 避 | 日 夯 | 久 名 全 和 卓 入 


习 hctive Directory 用 户 和 计算 相 
回国 保 i 


日 将 tt cm 
田 国 Builtin 
田 回 computers 
田 局 Domnain Controllers 
田园 ForeignSecurityprincif 
司 jiaeshi 
了 Users 
司 xuesheng 
忠 Domain Users 
忠 Enterpris 
中 Enterpris 
有 cut 用 户 供 来 宾 访 问 计算 机 或 访 
忠 BMS wnd I..。 安全 组 - 本 .. ”这 个 组 中 的 服务 器 可 以 
驶 Read-only .。 安全 组 - 全 局 。 此 组 中 的 成 员 是 域 中 只 
4 加 | 驶 schensA4 。 安全 组 - 通用 。 架构 的 指定 系统 管理 员 到 
用 除 当 前 选择 > [ [ 


图 2-67 组 的 删除 


2.3.3 域 模式 下 OU 的 建立 


本 小 节 我 们 讲解 如 何 设置 OU。 按 照 以 下 方法 可 以 建立 任何 组 织 单元 。 
例如 要 在 thw. com 域 建立 组 织 单元 jiaoshi。 
(1) 在 安装 了 活动 目录 的 域 控制 器 计算 机 上 单 击 “开始 ”~ 程序 ”~" 管 理工 具 ” 命 


令 , 打 开 的 界面 如 图 2-68 所 示 。 


tory 用 户 和 计算 机 =Iolxl 
文件 ) 操作 查看 VW 帮助 00 
名 只 | 节 | 丰 | 口 | 日 GBBI 日 同 | 久 名 徊 要 百 名 
习 hctive Directory 用 户 和 计算 村 


田 国 保存 的 查询 了 Builtin builtinDomain 

日 前 thy. con 司 computers 容器 Default container fo 
田 回 Builtin Foreigse. 容器 Default container fo. 
习 Conputers Vsers 容器 Default container fo 
田 国 Donain Controllers 国 Domain co . 。 组 织 单位 Default container fo 
田 国 ForeigSecurityPrineis 

司 wsers 
: | 


I | 
2-68 ”打开 活动 目录 用 户 与 计算 机 
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(2) 在 thw. com 空白 区 域 右 击 ,选择 新建”>“ 组 织 单元 ”, 如 图 2-69 所 示 。 53 


文件 中 操作 查看) 帮助 00 
[EE eaalgHl 


司 cowputers 
田园 Donain Controllers 

田园 ForeignSecurityPrineis 
四 Vsers 


图 2-69 使 用 新 建 命令 


(3) 单 击 “ 组 织 单元 ”命令 ,出 现 如 图 2-70 所 示 的 界面 ,并 在 名 称 栏 输入 jiaoshi, 单 击 
“确定 ”完成 建立 组 织 单 元 操作 。 


新 建 对 象 - 组 织 单位 x 


E22 BE 于: th eon/ 


2-70 ”创建 组 织 单元 jiaoshi 


2.4 ”客户 机 加 入 域 


本 节 讲 解 如 何 将 计算 机 加 入 域 ,按照 下 述 方法 我 们 可 以 将 任何 计算 机 加 入 域 。 例 如 
我 们 要 将 b 计算 机 加 入 域 (前 提 条 件 是 网 络 的 数据 通信 没有 问题 ), 需 完成 以 下 操作 : 

(1) 调整 TCP/IP 协议 的 属性 ,使 DNS 指向 域 服 务 器 的 DNS, 如 图 2-71 所 示 。 

(2) 在 我 的 电脑 上 右 击 , 单 击 计算 机 ”名 标签 ,如 图 2-72 所 示 。 
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寓 规 计算 机 名 | 硬件 上 高 级 上 系统 还 原 | 目 动 更 新 | 远程 


Internet 协议 (ICP/IP) 属性 ? 
一 亡 Windows 使 用 以 下 信息 在 网 络 中 标识 这 各 计 算 机 。 
第 规 


; 则 可 以 获 职 自动 指派 的 IP 设置 。 否则 ， 计算 机 描述 四 ) bb 
ee 
ot: cn Conputer” 或 "Wary = 
ompater 
〇 自动 获得 理 地 址 四 ) 完整 的 计算 机 名 称 : 
有 TF 环 惠 还 E) 工人 组 ee 

[3 


了 | 
让 二 二 ps 


[EE 


要 重新 命名 此 计算 机 或 加 入 域 ， 单 击 “ 更 疏 ”。 


自动 获得 DRS 服务 器 地 址 四) 
全 使 用 下 面 的 DNS 服务 器 地 址 到 ) 
首选 DNS 服务 器 下) [rz .16 .32 .164] 
备用 DNS 服务 器 信 ) [210 .73 .88 .1 | 


2-71 DNS 的 调整 图 2-72 计算 机 名 


(3) 单 击 “ 更 改 ” 命 令 按 钮 ,输入 计算 机 名 及 加 入 的 域名 ,如 图 2-73 所 示 。 
(4) 单 击 “ 确 定 ”, 出 现 图 2-74 的 界面 ,输入 有 操作 权 的 用 户 名 及 密码 。 


计算 机 名 称 更 改 zx 


图 2-73 更改 操作 图 2-74 输入 用 户 名 及 密码 


(5) 单 击 “确定 ”, 出 现 图 2-75 的 界面 。 重 新 启动 计算 机 ,将 计算 机 加 入 域 的 工作 完成 。 

将 计算 机 加 入 域 以 后 ,我们 就 可 以 在 域 服务 器 上 对 加 入 域 的 计算 机 进行 有 效 的 管理 
了 。 或 在 客户 机 上 ,通过 网 上 邻居 的 活动 目录 项 目 对 其 他 计算 加 
机 或 域 服务 器 进行 有 效 的 管理 。 如 hl 是 GS. com 的 管理 员 , 现 
在 他 就 可 以 对 域内 的 计算 机 包括 域 服务 器 进行 管理 。 而 这 种 管 
理 是 以 管理 员 的 身份 登录 以 后 ,在 域内 的 任何 一 台 计 算 机 上 进 
行 的 ,不 是 亲自 遍历 每 一 台 计 算 机 ,充分 体现 了 域 工 作 模式 下 集 ”图 275 加 入 域 
中 管理 的 优点 。 


让) 次 mhn 和 cs eon 域 。 
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次 8 
人 本 章 小 结 


本 章 主要 讲述 了 基于 活动 目录 网 络 的 管理 思想 。 要 求 熟练 掌握 域 ` 组 织 单位 、 群 和 账 
户 的 概念 ,并 在 实践 中 熟练 运用 这 些 概念 对 实际 问题 建立 基于 活动 目的 逻辑 空间 。 熟 练 
掌握 在 Windows Server 2008 环境 下 实现 建立 域 . 域 树 、 组 织 单位 组、 账户 的 操作 过 程 ， 
同时 掌握 将 计算 机 加 入 域 的 操作 。 进 一 步 理 解 域 模式 下 网 络 管理 与 对 等 网 络 模式 下 网 络 
资源 管理 的 区 别 。 了 解 服务 器 在 成 为 域 控制 器 后 的 变化 。 


等 本 章 习 是 


. 简 述 域 .组织 单位 .组 .账户 的 概念 和 作用 。 

. 简 述 组 与 组 织 单位 的 区 别 。 

. 简 述 网 络 建立 活动 目录 的 意义 。 

. 在 Windows Server 2008 下 ,完成 建立 域 ` 组 织 单位 .组 .账户 的 实际 操作 。 
. 将 一 台 计算 机 加 入 域 。 


an 刁 oo 


组 策略 的 应 用 


【本 章 重点 】 

掌握 组 策略 的 功能 、 内 容 、 管 理 与 维护 方法 。 掌 握 用 组 策略 进行 菏 面 设置 ,收藏 夹 和 
链接 、 文 件 夹 重 定向 和 硬件 访问 策略 的 设置 方法 与 操作 要 点 。 掌 握 通 过 组 策略 进行 程序 
的 远程 安装 和 禁止 运行 的 技术 和 操作 技巧 。 


组 策略 (Group Policy,GP) 是 系统 管理 员 为 计算 机 用 户 定义 的 用 来 控制 应 用 程序 , 系 
统 设置 和 管理 模板 的 一 种 机 制 ,也 是 一 种 用 于 管理 网 络 内 的 用 户 设 置 和 计算 机 设置 的 管 
理工 具 。 所 谓 组 策略 ,就 是 基于 群体 (组 织 单位 、 域 .站 点 ) 的 管理 策略 。 它 以 Windows 中 
的 一 个 MMC 管理 单元 的 形式 存在 ,可 以 帮助 系统 管理 员 针 对 整个 计算 机 或 是 微软 活动 
目录 的 逻辑 要 素 自 Windows NT 4. 0 开始 便 采 用 了 组 策略 这 一 机 制 ,经 过 Windows 2000 
发 展 到 Windows 2008 已 相当 完善 。 


3.1 组 策略 与 组 策略 对 象 


组 策略 是 介 于 控制 面板 和 注册 表 之 间 的 一 种 修改 系统 ,是 设置 程序 的 工具 。 一 些 常 
用 的 系统 、 外 观 、 网 络 设置 等 我 们 可 通过 控制 面板 修改 .但 大 家 对 此 肯定 都 有 不 满意 的 地 
方 .因为 通过 控制 面板 能 修改 的 东西 太 少 ; 水 平 稍 高 点 的 用 户 进而 通过 修改 注册 表 的 方法 
来 设置 。 我 们 知道 注册 表 是 Windows 系统 中 保存 系统 、 应 用 软件 配置 的 数据 库 , 随 着 
Windows 功能 越 来 越 丰富 ,注册 表 里 的 配置 项 目 也 越 来 越 多 。 

很 多 配置 都 是 可 以 自 定义 设置 的 ,但 这 些 配置 分 布 在 注册 表 的 各 个 角落 ,如果 是 手工 
配置 ,可 想 而 知 是 相当 困难 和 繁杂 的 。 而 组 策略 则 将 系统 重要 的 配置 功能 汇集 成 各 种 配 
置 模块 , 供 管理 人 员 直 接 使 用 ,从 而 达到 方便 管理 计算 机 的 目的 。 组 策略 使 用 自己 的 完善 
的 管理 组 织 方法 .对 各 种 对 象 中 的 设置 进行 管理 ,涉及 的 内 容 比 控制 面板 中 的 多 ,安全 性 
和 控制 面板 一 样 非常 高 ,而 条 理性 、 可 操作 性 则 比 注册 表 强 。 


3.1.1 组 策略 的 功能 
组 策略 是 活动 目录 的 重要 组 成 部 分 ,也 是 活动 目录 里 的 重点 内 容 。 使 用 组 策略 可 以 
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使 工作 变 得 简单 化 、 条 理化 。 利 用 组 策略 ,用 户 可 以 设置 多 种 配置 ,包括 桌面 配置 和 安全 
配置 。 例 如 ,可 以 为 特定 用 户 或 用 户 组 定制 可 用 的 程序 、 桌 面 上 的 内 容 , 以 及 “开始 ”菜单 
选项 等 ,也 可 以 在 整个 计算 机 范围 内 创建 特殊 的 桌面 配置 。 简 而 言 之 ,组 策略 是 
Windows 中 的 一 套 系 统 更 改 和 配置 管理 工具 的 集合 。 

对 于 Windows 9X/NT 用 户 来 说 ,都 知道 “系统 策略 ”的 概念 ,其 实 组 策略 就 是 系统 策 
略 的 高 级 扩展 , 它 是 自 Windows 9X/NT 的 “系统 策略 ?发 展 而 来 的 ,具有 更 多 的 管理 模 
板 、 更 灵活 的 设置 对 象 及 更 多 的 功能 ,主要 应 用 于 Windows 2000/XP/2003/7/2008 操作 
系统 中 。 而 系统 策略 只 具有 写 人 注册 表 项 这 一 个 功能 ,组 策略 可 以 完成 更 多 的 功能 。 

早期 系统 策略 的 运行 机 制 是 通过 策略 管理 模板 ,定义 特定 的 POL( 通 常 是 Config. 
pol) 文 件 。 当 用 户 登录 时 , 它 会 重 写 注册 表 中 的 设置 值 。 当 然 ,系统 策 略 编辑 器 也 支持 对 
当前 注册 表 的 修改 ,另外 也 支持 连接 网 络 计 算 机 并 对 其 注册 表 进 行 设置 。 

而 组 策略 及 其 工具 , 则 是 对 当前 注册 表 进行 直接 修改 。 显 然 , Windows 2000/XP/ 
2003 系统 的 网 络 功 能 是 其 最 大 的 特色 ,所 以 其 网 络 功 能 自然 是 不 可 少 的 ,因此 组 策略 工 
具 还 可 以 打开 网 络 上 的 计算 机 进行 配置 ,甚至 可 以 打开 某 个 Active Directory (活动 目录 ) 
对 象 ( 即 站 点 、 域 或 组 织 单位 ) 并 对 其 进行 设置 。 这 是 以 前 “系统 策略 编辑 器 ”工具 无 法 做 
到 的 。 

当然 ,无 论 是 “系统 策略 ”还 是 “组 策略 ”, 它 们 的 基本 原理 都 是 修改 注册 表 中 相应 的 配 
置 项 目 , 从 而 达到 配置 计算 机 的 目的 ,只 是 它们 的 一 些 运 行 机 制 发 生 了 变化 和 扩展 而 已 。 


3.1.2 组 策略 的 内 容 


计算 机 组 策略 主要 可 进行 两 个 方面 的 配置 : 计算 机 配置 和 用 户 配 置 。“ 计 算 机 配置 
是 对 整个 计算 机 中 的 系统 配置 进行 设置 , 它 对 当前 计算 机 中 所 有 用 户 的 运行 环境 都 起 作 
用 ;* 用 户 配置 " 则 是 对 当前 用 户 的 系统 配置 进行 设置 , 它 仅 对 当前 用 户 起 作用 。 例 如 * 计 
算 机 配置 "和 “用 户 配 置 " 都 提供 了 “ 停 用 自动 播放 ”功能 的 设置 ,但 效果 是 不 同 的 ;如 果 是 
在 “计算 机 配置 "中 选择 了 该 功能 ,那么 所 有 用 户 的 光盘 自动 运行 功能 都 会 失效 ; 如 果 是 
在 “用 户 配置 ”中 选择 了 该 功能 ,那么 仅仅 是 该 用 户 的 光盘 自动 运行 功能 失效 ,其 他 用 户 则 
不 受 影响 。 

当 计算 机 配置 与 用 户 配置 发 生 了 矛盾 时 ,计算 机 配置 优先 。 其 下 所 有 设置 项 的 配置 都 
将 保存 到 注册 表 的 相关 项 目 中 。 计算机 配置 保存 到 注册 表 的 HKEY_LOCAL _ 
MACHINE 子 树 中 ,用 户 配置 保存 到 HKEY_CURRENT_USER。 在 Windows 2008 以 
及 Windows 2003 中 ,组 策略 一 般 放 在 “系统 安装 :\windowsN\system32\GroupPolicy” 文 
件 夹 中 ,文件 名 为 gpedit. msc。 

如 图 3-1 所 示 ,组 策略 分 为 两 大 部 分 : 计算 机 配置 和 用 户 配 置 。 每 一 个 部 分 都 有 自 
己 的 独立 性 ,因为 它们 配置 的 对 象 类 型 不 同 。 计 算 机 账户 部 分 控制 计算 机 账户 ,同样 用 户 
配置 部 分 控制 用 户 账 户 。 其 中 有 部 分 配置 在 计算 机 部 分 拥有 且 在 用 户 部 分 也 有 同样 的 配 
置 ,它们 是 不 会 跨越 执行 的 。 假 设 某 个 配置 选项 你 希望 计算 机 账户 启用 用户 账户 也 启 
用 ,那么 就 必须 在 计算 机 配置 和 用 户 配 置 部 分 都 进行 设置 。 总 之 计算 机 配置 下 的 设置 仅 
对 计算 机 对 象 生 效 ,用 户 配 置 下 的 设置 仅 对 用 户 对 象 生效 。 


5 


58 


计算 机 网 络 管理 与 安全 (第 2 版 ) 


分 别 展开 “计算 机 配置 > 和"* 用 户 配置 "会 发 现 还 有 以 下 三 个 项 目 , 如 图 3-1 所 示 。 


EEECEEEEE 
文件 四 “操作 内 坦 看 W。 帮助 00 
钊 审 | | 四 | 呈 | 卓 梧 


OV [YIN-LATOQBNI22Y 


选择 一 个 项 目 来 查看 它 的 措 述 。 


i [ 
3-1 组 策略 对 象 界面 


。 软件 设置 : 用 于 对 已 经 安装 好 的 软件 进行 管理 和 维护 。 

。 Windows 设置 : 用 于 系统 或 用 户 的 开关 机 脚本 ,系统 安全 等 内 容 的 设置 。 

。 管理 模块 : 主要 用 于 对 系统 、 网 络 、Windows 组 件 等 内 容 进行 设置 ,还 可 以 添加 或 

者 删除 管理 模块 。 

组 策略 是 Windows 2008 中 提供 的 一 种 重要 的 更 新 和 配置 管理 技术 。 它 与 域 或 组 织 
单位 结合 ,就 能 控制 和 管理 网 络 中 的 域 用 户 和 计算 机 的 工作 环境 。 它 有 几 千 项 配置 ,主要 
包括 以 下 功能 : 用 户 工 作 环境 的 设置 ,安全 设置 ,软件 的 安装 与 删除 ,脚本 的 设置 ,文件 夹 
重 定向 。 

在 域 环 境内 可 以 有 成 百 上 千 个 组 策略 能 够 创建 和 存在 于 活动 目录 中 ,并 且 能 够 通过 
活动 目录 这 个 集中 控制 技术 ,实现 对 整个 计算 机 、 用 户 和 网 络 的 基于 组 策略 的 控制 管理 。 
在 活动 目录 中 我 们 可 以 为 站 点 、 域 .OU 创建 不 同 管理 要 求 的 组 策略 ,而 且 允 许 每 一 个 站 
点 、 域 .OU 能 同时 设置 多 套 组 策略 。 


3.1.3 创建 和 链接 组 策略 对 象 


组 策略 设置 存储 在 组 策略 对 象 (GPO) 中 , 即 组 策略 是 由 具体 的 组 策略 对 象 来 实现 
的 。 根 据 组 策略 对 象 的 作用 范围 ,可 分 为 以 下 两 种 。 

本 地 组 策略 对 象 : 它 只 存在 一 台 计 算 机 上 ,只 对 本 地 用 户 及 该 计算 机 起 作用 。 

Active Dirctory 组 策略 对 象 : 存储 在 控制 器 上 ,只 能 在 活动 目录 环境 下 使 用 ,适用 于 
组 策略 所 作用 的 站 点 、 域 .组 织 机 构 中 的 用 户 和 计算 机 。 

当 多 个 组 策略 在 一 起 时 ,执行 的 顺序 是 本 地 组 策略 、 活 动 目录 的 站 点 策略 、 活 动 目录 
的 域 策略 、 活 动 目录 的 组 织 单位 策略 。 这 些 策略 不 一 致 时 ,后 应 用 的 策略 覆盖 前 一 个 策 
略 。 在 活动 目录 层次 结构 的 每 一 级 组 织 单位 中 ,可 以 链接 一 个 多 个 或 不 链接 组 策略 对 
象 , 如 果 一 个 组 织 对 象 链接 了 多 个 组 策略 , 则 按 管理 员 制 定 的 顺序 处 理 , 较 前 位 置 的 组 策 
略 具有 较 高 的 优先 权 。 

下 面 我 们 就 说 明 如 何 建 立 组 策略 和 连接 组 策略 。 


ee 
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(1) 在 Windows Server 2008 上 ,以 管理 员 身份 登录 ,依次 选择 “开始 ”一 “管理 工具 ”一 


“组 策略 管理 ”, 如 图 3-2 所 示 。 


图 3-2 启动 组 策略 管理 


(2) 进入 组 策略 管理 界面 ,依次 选择 “组 策略 管理 ”>“ 林 : thw. com” 一 * 域 ”一 thw. com-~ 
xuesheng ' 右 击 xueshengOU( 组 织 单元 ) ,在 弹出 的 菜单 中 选择 “在 这 个 域 中 创建 GPO 并 


所 示 。 


在 此 处 链接 ”选项 ,如 图 3-3 


图 3-3 在 这 个 域 中 创建 GPO 并 在 此 处 链接 


a 
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60 
所 示 。 


(3) 在 弹出 的 对 话 框 中 为 新 建立 的 GPO 起 个 名 字 , 例 如: software OU, 如 图 3-4 


图 3-4 新建 组 策略 
(4) 右 击 新 建立 的 software OU ,在 弹出 菜单 中 选择 “编辑 ”, 如 图 3-5 所 示 对 话 框 ; 然 
后 进入 组 策略 管理 编辑 器 ,图 3-6 所 示 。 


图 3-5 启动 组 策略 管理 编辑 器 
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文件 中 操作) 查看 W 帮助 00 
:多 坤 || 自 呈 | 日 辣 
算 机 本 加 


本 计算 机 配置 
网 用 户 可 置 


3-6 组 策略 管理 编辑 器 


3.2 通过 组 策略 定制 工作 环境 


3.2.1 修改 登录 用 户 的 桌面 


桌面 是 打开 计算 机 并 登录 到 Windows 之 后 看 到 的 主屏 幕 区 域 。 就 像 实际 的 桌面 一 
样 , 它 是 用 户 工作 的 平面 。 打 开 程序 或 文件 夹 时 ,它们 便 会 出 现在 桌面 上 。 还 可 以 将 一 些 
项 目 ( 如 文件 和 文件 夹 ) 放 在 桌面 上 ,并 且 随 意 排列 它们 。 有 时 桌面 定义 更 为 广泛 ,包括 任 
务 栏 和 Windows 边栏 。 任 务 栏 位 于 屏幕 的 底部 ,显示 正在 运行 的 程序 ,并 可 以 在 它们 之 
间 进 行 切换 。 它 还 包含 “开始 ”按钮 ,使 用 该 按钮 可 以 访问 程序 文件 夹 和 计算 机 设置 。 
边栏 位 于 屏幕 的 一 侧 , 包 含 称 为 小 工具 的 小 程序 。 
下 面 的 操作 说 明 如 何 设置 统一 的 桌面 壁纸 。 
(1) 打开 组 策略 编辑 器 ,在 左 侧 的 目录 树 中 依次 选择 “用 户 配置 ">“ 策 略 ”>“ 管 理 模 
板 : 从 本 地 计算 机 检索 到 的 策略 定义 (AIMX 文件 )”>“ 桌 面 *>“ 桌 面 ", 在 右边 的 显示 视 
图 中 会 出 现 可 以 对 桌面 进行 的 配置 ,如 图 3-7 所 示 。 
看 组 我 路 管理 编辑 于 一 = 
文件 操作) 二 看 MW 履 助 09 
cle 


mn Policy [server. abs con] 生路 


EE 


AHrgARE | 
1 不 可 l [Is|@|: 
估 珊 | | 名 本 | 革 组 第 机 管理 | 国王 后 和 画 帮 1 


3-7 组 策略 的 桌面 配置 


兮 。 .计算 机 网 络 管理 与 安全 (第 2 版 ) 


思 3 (2) 选择 启动 Active Desktop, 如 图 3-8 所 示 。 
(3) 设置 统一 桌面 墙纸 ,如 图 3-9 所 示 ( 已 提前 将 墙纸 存 人 共享 文件 夹 中 ) 。 


图 3-8 设置 启动 Active Desktop 


(4) 设 定 用 户 不 能 自行 修改 桌面 ,如 图 3-10 所 示 。 


图 3-10 不 允许 更 改 设置 


(5) 以 组 策略 所 管辖 的 用 户 身 份 登录 客户 机 ,就 可 看 到 统一 设置 的 桌面 墙纸 , 如 
图 3-11 所 示 。 


3.2.2 配置 用 户 的 收藏 来 和 链接 
利用 组 策略 可 以 对 用 户 上 网 时 使 用 的 IE 浏览 器 进行 有 效 的 管理 ,如 可 以 禁用 导入 / 
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oe 


3-11 组 策略 统一 设置 桌面 墙纸 


导出 收藏 夹 ,禁用 更 改 高 级 选项 卡 , 禁 用 邮件 快捷 菜单 , 自 定义 IE 标题 栏 等 。 这 里 以 配置 
用 户 的 收藏 夹 和 链接 为 例 来 说 明 。 

(1) 找到 “用 户 配置 ”策略 ”一 Windows 设置 ”一 “Internet Explorer 维护 ”选项 ， 
如 图 3-12 所 示 。 


局 组 策略 管理 编辑 器 =|9|x| 


$5mBlm | 


收藏 夫 
区 域 和 分 级 以 及 huthenticode 
默认 程序 设置 和 外 部 程序 


图 3-12 Internet Explorer 维护 
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64 (2) 选择 URL, 在 右边 的 显示 视图 中 会 出 现 可 以 对 URL 配置 两 个 选项 ,我 们 双击 收 
藏 夹 和 链接 ,这 时 会 弹出 “收藏 夹 和 链接 ”对 话 框 ,如 图 3-13 所 示 。 


自 组 弟 史 管理 编辑 震 


文件 PF) 操作 查看 MW 帮助 00 
和 时 | 方 因 | 加 区 | 加 辕 


可 meet iwmss Folicy [OF 
日 央 计算 机 四 轩 


主页 、 搜索 和 联机 支持 VRL 


CE |] wi 二 者 且 


3-13 ”收藏 夹 和 链接 


(3) 选中 Favorites , 单 击 * 添 加 URL”, 弹 出 “详细 信息 ”界面 ,这 时 我 们 可 以 输入 要 加 
入 的 网 址 名 称 和 URL 地 址 。 这 里 我 们 以 “百度 ”为 例 , 如 图 3-14 所 示 。 


EE 


ISSUE 
VRLOD: | mm baidu com I 
BW | 
三 苑 许 和 机 食用 0 
Ce] _ws | 


3-14 添加 收藏 夹 链接 


这 样 百度 就 会 在 用 户 的 收藏 夹 中 出 现 ,进而 实现 了 收藏 夹 的 统一 配置 。 
3.2.3 取消 密码 复杂 性 的 要 求 


在 Windows Server 2008 系统 中 ,对 密码 的 复杂 性 要 求 较 高 , 越 是 复杂 的 密码 其 安全 系 
数 就 越 高 。 但 是 也 存在 棘 端 , 越 复 杂 的 密码 越 难 记 忆 , 因 此 很 多 普通 用 户 会 抱怨 密码 太 长 ， 
很 容易 把 密码 忘记 。 因 此 在 这 里 我 们 讲解 管理 员 如 何 通过 修改 域 控制 器 的 安全 策略 ,来 取 
消 系统 中 密码 的 负载 性 要 求 。 在 保证 安全 的 前 提 下 可 以 使 用 简单 的 密码 ,其 具体 操作 如 下 。 

(1) 打开 “组 织 策略 管理 器 ”对 话 框 ,依次 选择 “计算 机 配置 >“ 策略 ”>“Windows 设 
置 ”>“ 安 全 设置 ">“ 账 户 策略 >“ 密码 策 略 ”, 密 码 必须 符合 复杂 性 要 求 策略 ,如 图 3-15 
所 示 。 


(2) 双击 “密码 必须 符合 复杂 性 要 求 ”. 选 择 “ 已 禁用 ”, 如 图 3-16 所 示 。 
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第 史 管理 编 罗 =/9lx] 65 
文件 中 ”操作 册 ”查看 如 帮助 中 
寺 宙 [IX BIB 


图 3-16 禁用 密码 复杂 性 要 求 


3.2.4 设置 硬件 访问 控制 策略 

1. 可 移动 存储 访问 策略 

随 着 移动 存储 设备 越 来 越 普及 ,移动 设备 的 存储 空间 也 越 来 越 大 ,病毒 的 传播 很 多 也 
可 以 通过 移动 存储 进行 ,因此 对 移动 设备 的 管理 难度 更 是 越 来 越 复杂 ,伴随 着 出 现 了 管理 
CD 和 DVD 带 来 的 新 问题 ,Windows Server 2008 通过 组 策略 可 以 控制 对 移动 设备 的 访 
问 和 对 硬件 设备 的 安装 。 


和 .计算 机 网 络 管理 与 安全 (第 2 版 ) 


66 (1) 打开 “组 策略 管理 ”窗口 , 右 击 Default Domain Policy, 在 快捷 菜单 中 选择 “编辑 ” 
选项 ,如 图 3-17 所 示 。 
马 文件) 操作 必 ) 查看 WM 窗口 人 帮助 00 | 本 
人 钙 中 | 了 | 下 |Gl 日 本 


Default Donain Policy 
作用 域 | 详细 信息 | 设置 | 委派 | 
钳 接 


添加 0). M$) IE 
WII 入 远 
此 Gro 树 接 到 下 列 TNT 项 选 器 or) 
> 


采 开 570 编 久 器 L I 


图 3-17 组 策略 管理 


Default Domain Policy 


(2) 单 击 “ 编 辑 ”, 弹 出 “组 策略 管理 编辑 器 "窗口 ,如 图 3-18 所 示 。 


| 
文件 F) 操作 查看 VW 必 助 00 
委 只 || 日 已 1 日 可 
要 


看 Defenlt Dowsin Policy [YIN-LATOQBNI22Y. thw com] 


选择 一 个 项 目 未 查看 它 的 描述 。 
师 计算 机 配置 
网 用 户 配置 


| 划 、\ 扩 展 人 村 要 7 


I I 
3-18 组 策略 管理 


(3) 在 “组 策略 管理 编辑 器 "窗口 的 左 侧目 录 树 中 依次 选择 “计算 机 配置 "一 “策略 ”一 
“管理 模板 ”系统 ”一 可 移动 存储 访问 ?选项 ,如 图 3-19 所 示 。 

(4) 在 “可 移动 存储 访问 ?面板 中 , 右 击 “CD 和 DVD: 拒绝 读 取 权 限 ” 策 略 , 在 快捷 菜 
单 中 选择 “属性 ”选项 ,显示 “CD 和 DVD: 拒绝 读 取 权 限 属性 ”对 话 框 。 单 击 “ 已 启用 ” 单 
选 按 钮 ,启用 该 策略 。 单 击 “ 确 定 ” 按 钮 ,关闭 “CD 和 DVD: 拒绝 读 取 权 限 属性 ”对 话 框 。 
同样 的 方法 可 以 设置 “CD 和 DVD: 拒绝 写 人 权限 ”策略 .如 图 3-20 所 示 。 
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自 组 策略 管理 编辑 去 
文件 F) 操作 查看 W) 帮助 人 0 
人 四 | 访 四 | 要 | 加 可 | 时 


可 ntut news Policy [DEL 


喇 存储 访问 


一 个 项 目 示 查看 它 的 所 述 。 总 || 
人 强生 新 96 辣 只 入 为 昌 位 ) 


Kerberos 
国 mgs 文件 系统 
习 Windors 热 启 让 
田 国 Windows 时 间 脐 
站 Windows 文件 全 


FD 设备 ;拒绝 读 取 权限 


固 WPD 设备 : 拒绝 写 入 权限 


图 3-19 可 移动 存储 访问 


EF 
文件 操作 和 查看) 帮助 00 ] 
各 中 | 页 中 | 口 蕊 | 四 可 | 昱 

Dl Datalt Domain Policy [WIN-LA\S| 


IE Tr 3 
日 国 
cr 上 -和 nv。 拒绝 了 仅 限 医 性 7 


回国 indovs 设置 义 类 : 拒 纺 读 取 权 阵 
3 A | | | | 
下 fed 组 软 家 并 动 短 ， 拒 疆 了 和 回 cp 和 Wo; 拒 结 到 权限 
和 软盘 沁 动 吕 : 拒绝 本 
于 在 可 移 动 盟 : 拭 统计 了 $。 天 未 区 时) 
Ee 本 移动 二 , 拒 纪 卫 名 全 已 启用 区) 
田 国 Taternet 通信 人 所 有 可 移动 存 信 类 : 拒 纪 同志 已 蒋 用 加 
中 站 所 有 本 移动 存 全: 允许 
“站 严 大 驱动 器 : 拒绝 读 到 
Xerberos 辐 碰 融 红 动 器 拒绝 本 和 


] rzs 文件 系统 “| | 互 "PD 设备 : 拒 颖 这 取 梭 了 
Windows 热 启 寺 居 | 司 YPm 设备 : 拒 编 写 入 权 婚 

田 司 windows 时 间 甩 
站 Windows 文件 伪 


支持 于 : 至 少 Vindors Vists 
上 一 个 设置 中) 下 一 个 设置 只 


二 程序 安装 = 取消 应 用 内 ) 
T T 


图 3-20 组 策略 管理 编辑 器 一 一 “CD 和 DVD: 拒绝 读 取 权限 ”策略 


2. 部 署 “ 禁 止 安装 可 移动 设备 ”策略 

上 述 策略 可 以 做 到 设备 已 经 安装 在 了 计算 机 里 ,我 们 部 署 了 禁止 访问 ,而 这 里 我 们 部 
署 的 是 不 允许 设备 的 安装 。 

打开 “组 策略 管理 ”窗口 , 右 击 Default Domain Policy, 在 快捷 菜单 中 选择 “编辑 ” 选 
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68 ”项 ,打开 “组 策略 管理 编辑 器 ”窗口 ,在 组 策略 编辑 器 的 左 侧目 录 树 中 依次 选择 “计算 机 配 

置 ”策略 ”管理 模板 ”系统 ”一 "设备 安装 ”一 设备 安装 限制 "。 在 右 侧 的 选项 中 选 

择 “ 禁 止 安装 可 移动 设备 ”, 出 现 “ 禁 止 安装 可 移动 设备 属性 ” 窗 体 ,选择 “已 启用 ” 单 选 按 
启用 该 策略 。 如 图 3-21 所 示 ,此 策略 应 用 范围 比较 广 ,要 谨慎 使 用 。 


上 i yl 
阻止 安装 时 显 : 


| 


四 阳 上 安装 时 下 

四 介 谋 去 半 与 下 列 设备 ID 。 固 寺 家 半 可 移动 设备 
遇 阳 止 安 装 与 下 列 任何 设 各 
国 禁止 安装 可 移动 设备 


站 可 上 安装 未 由 其 他 第 忠 诈 。 必 
EI 


田 国 Windows 时 间 及 
习 Windows 文件 从 
了 磋 盘 配额 


支持 于 ;至少 Windows Vists 


上 一 个 设置 号) 下 一 个 设置 人 0 


3-21 禁止 安装 可 移动 设备 


3.2.5 ”组 策略 文件 来 重 定向 


组 策略 中 的 “文件 夹 重 定 向 ”功能 可 以 把 用 户 计算 机 中 “我 的 文档 ”“ 桌 面 "“ 开 始 菜 
单 ” 以 及 “应 用 程序 设置 "这 4 部 分 功能 的 文件 夹 从 本 地 (C:\Documents and Settings) 目 
录 中 重 定向 到 服务 器 上 的 一 个 共享 目录 中 。 当 然 也 可 以 扩展 为 我 们 任何 想 要 重 定向 的 文 
件 夹 ,如 QQ 聊天 记录 , 即 把 用 户 本 机 上 的 文件 夹 存储 位 置 转移 到 域 控 制 器 上 或 者 网 络 上 
的 其 他 主机 ,从 而 实现 对 数据 的 统一 备份 与 管理 。 

使 用 这 个 功能 ,我 们 可 以 实现 文件 夹 跟随 ,. 即 用 户 的 设置 与 数据 保存 在 了 服务 器 中 ， 
无 论 从 什么 地 方 登录 ,这 些 文件 夹 都 会 跟随 用 户 到 所 使 用 的 计算 机 上 。 使 用 文件 夹 重 定 
向 的 好 处 是 用 户 在 本 地 处 理 文档 ,处 理 完 成 之 后 的 文档 以 个 人 名 义 存放 在 文件 服务 器 上 ， 
而 且 除 了 本 人 之 外 的 任何 人 都 不 能 查看 或 者 进行 其 他 操作 。 

文件 重 定向 的 设置 策略 有 两 个 选择 ,一 个 是 基本 , 另 一 个 高 级 。 基 本 策略 是 将 每 个 账 
户 的 文件 夹 重 定 向 到 同一 位 置 。 高 级 策略 是 指 为 每 个 组 指定 不 同 的 具体 重 定向 。 

文件 夹 重 定向 的 安全 策略 有 以 下 两 种 : 第 一 是 授予 用 户 的 独占 权限 。 若 选中 这 个 选 
的 话 , 只 有 用 户 自己 对 自己 的 文件 夹具 有 完全 控制 的 权限 ,包括 系统 管理 员 在 内 的 其 他 
用 户 都 没有 任何 访问 的 权限 ,包括 查询 修改、 删除 等 。 第 二 是 对 原 有 文件 的 管理 。 若 选 
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中 此 项 就 会 将 原文 件 夹 内 的 文件 也 移动 到 重 定向 后 的 文件 夹 内 。 [5 
下 面 我 们 进行 文件 夹 重 定向 的 操作 。 
(1) 在 文件 服务 器 上 新 建 一 个 文件 夹 ,并 把 这 个 文件 夹 设置 为 共享 文件 夹 ,共享 的 权 
限 是 每 个 人 都 有 完全 控制 的 共享 权限 ,如 图 3-22 所 示 。 


3-22 ”建立 共享 文件 夹 


(2) 在 域 控制 器 上 通过 组 策略 管理 工具 ,编辑 组 织 单位 caiwu 的 文档 文件 夹 的 重 定 
向 ,如 图 3-23 所 示 。 
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(3) 以 组 织 单位 用 户 zlq 身份 在 客户 机 上 登录 。 可 以 看 到 在 根 目录 上 已 经 建立 了 文 
档 文件 夹 的 重 定向 ,如 图 3-24 所 示 。 


我 的 文 产 属性 


MSERVER\Users\Administrator\Desktop\shar 
1.95 三 2,005 字 节 ) 
20.0 WB (20,460 字 节 ) 
5 个 文件 ,2 个 文件 夹 


2014 年 5 月 22 日 ，0:03:11 


辐 吧 无 加) [ET 
口 隅 闽 吧 


图 3-24 在 客户 机 上 验证 重 定向 设置 


3.3 禁止 程序 在 网 络 环境 下 的 执行 


3.3.1 网 络 环境 下 禁止 程序 运行 概述 


在 网 络 应 用 中 经 常会 有 一 些 要 求 , 如 禁止 某 些 用 户 运 行 某 个 程序 ,更 特殊 的 要 求 是 这 
些 用 户 无 论 在 哪个 计算 机 上 登录 ,禁止 程序 运行 要 求 都 成 立 。 这 给 网 络 管理 员 提出 了 一 
个 难题 ,本 节 将 介绍 用 组 策略 进行 管理 的 方法 。 

(1) 在 禁止 程序 运行 上 有 下 述 几 种 方法 。 

。 证 书 规则 : 软件 限制 策略 可 以 通过 其 签名 证 书 来 标识 文件 。 证 书 规则 不 能 应 用 
到 带 有 . exe 或 .dll 扩展 名 的 文件 。 它 们 可 以 应 用 到 脚本 和 Windows 安装 程序 
包 。 可 以 创建 标识 软件 的 证 书 ,然后 根据 安全 级 别 的 设置 ,决定 是 否 允 许 软件 
运行 。 
路 径 规 则 : 路 径 规则 通过 程序 的 文件 路 径 对 其 进行 标识 。 由 于 此 规则 按 路 径 指 
定 : 所 以 程序 发 生 移 动 后 路 径 规 则 将 失效 。 路 径 规 则 中 可 以 使 用 诸如 
%programfiles% 或 %systemroot% 之 类 的 环境 变量 。 路 径 规则 也 支持 通配符 ,所 
支持 的 通配符 为 * 和?。 相 对 其 他 规则 而 言 ,此 规则 设置 更 为 灵活 方便 。 
。 哈 希 规则 : 哈 希 值 是 通过 散 列 算法 生成 的 唯一 标识 程序 或 文件 的 一 系列 定 长 字 


第 3 章 组 策略 的 应 用 


节 。 需 要 特别 注意 的 是 ,对 文件 进行 的 任何 算 改 都 将 更 改 其 哈 希 值 并 允许 其 绕 过 
限制 。 但 是 重 命名 或 者 移动 操作 不 会 对 哈 希 值 产生 影响 。 
。 网 络 区 域 规则 : 该 规则 主要 用 于 使 用 Windows Installer 技术 安装 的 软件 ,因为 通过 
该 规则 ,我 们 可 以 对 来 自 不 同 Internet 区 域 的 软件 的 安装 程序 采取 不 同 的 限制 措施 。 
(2) 在 默认 情况 下 ,系统 默认 为 我 们 提供 了 以 下 常用 的 安全 级 别 。 
。 不 允许 : 不 允许 软件 运行 。 此 级 别 不 包含 任何 文件 保护 操作 。 只 要 用 户 具 有 修 
改 该 文件 的 权限 , 即 可 对 一 个 设 定 成 “不 允许 ”的 文件 进行 读 取 、 复 制 、 粘 贴 修 改 、 
删除 等 操作 ,组 策略 不 会 进行 阻止 。 
。 不 受 限 : 允许 软件 在 登录 到 计算 机 的 用 户 的 完全 权限 下 运行 。 此 级 别 不 等 于 完 
全 不 受 限制 ,只 是 不 受 软件 限制 策略 的 附加 限制 。 事 实 上 ,“ 不 受 限 的 ”程序 在 启 
动 时 ,系统 将 赋予 该 程序 父 进程 的 权限 ,该 程序 所 获得 的 访问 令 牌 决定 于 其 父 进 
程 ,所 以 任何 程序 的 权限 将 不 会 超过 它 的 父 进程 。 
。 基本 用 户 : 允许 程序 访问 一 般 用 户 可 以 访问 的 资源 ,但 没有 管理 员 的 访问 权 。 基 
本 用 户 仅 享有 “ 跳 过 遍历 检查 ”的 特权 ,并 拒绝 享有 管理 员 的 权限 。 
(3) 对 同一 个 软件 可 以 应 用 几 个 软件 限制 策略 规则 。 这 些 规 则 将 以 下 列 优 先 权 顺序 
应 用 (从 高 到 低 ): 哈 希 规则 二 证 书 规则 二 路 径 规则 二 网 络 区 域 规则 。 
例如 ,如 果 某 个 软件 程序 所 驻 留 的 文件 夹 被 指派 了 具有 “不 允许 的 ”安全 级 别 的 路 径 
规则 , 则 在 为 该 程序 创建 了 具有 “不 受 限 的 "安全 级 别 的 喻 希 规则 后 ,该 程序 将 能 运行 。 哈 
希 规 则 比 任何 路 径 规 则 优先 级 都 要 高 。 
如 果 对 同一 对 象 应 用 了 两 个 路 径 规则 , 则 两 者 中 更 为 具体 的 规则 将 具有 优先 权 。 例 
如 ,如 果 C:\Windows\ 有 一 个 具有 “不 允许 的 ”安全 级 别 的 路 径 规 则 ,而 C:\Windows\ 
System32\ 有 另 一 个 具有 "不 受 限 的 ?安全 级 别 的 路 径 规则 , 则 更 为 具体 的 路 径 规则 将 获 
得 优先 权 。 因 此 ,C:\Windows\ 中 的 软件 程序 无 法 运行 ,而 C:\Windows\System32\ 中 
的 程序 将 运行 。 
如 果 对 软件 应 用 了 两 个 仅 在 安全 级 别 方面 不 同 的 规则 , 按 最 受 限 制 的 规则 为 准 。 例 
如 ,有 两 个 哈 希 规则 ,一 个 具有 “不 允许 的 ”的 安全 级 别 , 一 个 具有 “不 受 限 的 ”的 安全 级 别 ， 
当 它 们 应 用 于 同一 软件 程序 时 ,具有 “不 允许 的 "安全 级 别 的 规则 将 获得 优先 权 , 因 此 该 程 
序 将 不 运行 。 另 外 ,对 于 路 径 规则 ,总 的 原则 就 是 : 规则 越 匹配 越 优先 。 


3.3.2 网 络 环境 下 禁止 程序 运行 的 操作 


这 里 我 们 以 禁止 组 织 单位 Ccaiwu) 内 的 用 户 运行 cmd. exe 为 例 来 说 明 。 

(1) 选择 “开始 ”一 策略 ”管理 工具 ”~ 组 策略 管理 ”, 在 组 织 单位 caiwu 处 单 击 ， 
出 现 如 图 3-25 所 示 的 界面 。 

(2) 单 击 “编辑 命令 ,在 “软件 限制 策略 ”处 右 击 ,出 现 如 图 3-26 所 示 的 界面 。 

(3) 单 击 “ 创 建 软件 限制 策略 ”将 安全 级 别 设置 为 默认 安全 级 别 不 受 限 ,如 图 3-27 
所 示 。 

(4) 选择 其 他 规则 ,在 空白 处 单 击 ,选择 新 建 路 径 规则 ,如 图 3-28 所 示 。 同 时 在 路 径 
处 ,输入 cmd. exe 的 具体 路 径 。 单 击 “ 确 定 ”, 完 成 路 径 设 置 。 
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图 3-25 右 击 caiwu 


图 3-26 右 击 软 件 限制 策略 
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新 建 路 多 规则 


图 3-27 设置 软件 限制 策略 的 安全 级 别 
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3-28 新 建 路 径 规则 
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74 (5) 在 加 入 域 的 客户 机 上 ,以 组 织 单位 caiwu 的 用 户 身 份 登录 。 在 开始 菜单 的 运行 
栏 内 输入 cmd. exe, 按 回 车 键 出 现 如 图 3-29 所 示 的 用 户 验 证 界面 。 


一 


-oh -二 


[mm 


图 3-29 用户 验 证 界面 


3.4 软件 远程 部 署 


3.4.1 软件 远程 部 署 方 法 


在 网 络 环境 中 安装 软件 是 件 很 烦琐 的 事情 ,而 在 域 环 境 下 组 策略 提供 了 一 个 简单 有 
效 的 解决 办 法 , 它 提供 了 两 种 安装 方式 。 

。 发布: 当 一 个 软件 发 布 给 用 户 , 组 策略 生效 后 ,用 户 在 任何 一 台 域 中 的 计算 机 登 
录 , 所 部 署 的 软件 并 没有 真正 安装 或 修改 客户 机 设置 ,而 是 出 现在 “添加 /删除 程 
序 ” 中 。 这 时 并 没有 更 改 用 户 计 算 机 的 任何 配置 ,也 没有 在 “开始 ”菜单 或 是 桌面 
上 创建 任何 快捷 方式 。 用 户 只 能 在 “添加 /删除 程序 中 ”自主 决定 是 否 安装 或 者 删 
除 。 如 果 用 户 选择 安装 ,软件 就 会 自动 从 服务 器 上 下 载 并 安装 到 用 户 所 在 的 计算 
机 中 。 

。 分 配 : 当 用 户 计算 机 下 一 次 启动 的 时 候 会 自动 下 载 并 安装 软件 ,在 出 现 登录 对 话 
框 的 时 候 , 软 件 已 经 安装 完毕 ,这 时 软件 才 真正 安装 到 了 用 户 的 计算 机 中 ,不 仅仅 
是 通知 而 已 ,并且 只 有 管理 员 权限 的 用 户 才 允许 删除 该 软件 。 但 是 用 户 还 是 可 以 
使 用 “添加 /删除 程序 ”对 话 框 来 对 这 个 软件 进行 修复 或 者 重新 安装 。 如 果 用 户 分 
发 的 是 ZAP 文件 格式 的 数据 . 则 此 项 为 虚 灰 色 。 
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> 18 
3.4.2 程序 的 远程 部 署 操作 
(1) 在 发 布 软件 前 ,要 在 域 服务 器 上 建立 一 个 共享 文件 夹 "共享 ,将 安装 文件 使 用 的 
MSI 数据 包 复制 到 此 文件 夹 内 ,并 且 设 置 相 应 的 访问 权限 ,注意 至 少 要 具备 读 取 的 权限 。 
其 次 要 配置 客户 端 和 域 用户 ,客户 端 计算 机 我 们 使 用 Windows XP 操作 系统 ,同时 要 确 
定 Windows 2008 系统 已 经 启用 了 网 络 发 现 和 文件 共享 功能 ,如 图 3-30 所 示 。 
eDirectory 用 户 和 计算 机 =I9lx| 
文件 加” 操作) 查看 WD 帮助 


名 中 | 施 | 丰 | 痢 口 | 交 日 昌 避 | 虽 丁 | 名 名 司 畔 器 镶 


etive nirectory MMHY 
习 保存 的 查询 用 户 


] Computers 

田园 Donsin Controllers 

图 同 ForwimSecurityfrineiF 
3 Users 


[= 3s 证 = 
3-30 组 织 单位 caiwu 的 设置 


(2) 在 域 服务 器 上 以 管理 员 身份 登录 ,在 组 策略 管理 编辑 器 选择 已 经 创建 的 名 称 为 
caiwu 的 组 策略 ,进入 组 策略 管理 编辑 器 ,依次 选择 "用 户 配 置 "一 “策略 ?一 “软件 设置 ”一 
“软件 安装 ”, 右 击 * 软 件 安装 ?并 选择 属性 ”如 图 3-31 所 示 。 

(3) 单 击 “ 属 性 ”。 通 过 浏览 选择 要 安装 的 软件 , 单 击 “ 确 定 ”, 完 成 设置 ,如 图 3-32 
所 示 。 

(4) 右 击 “软件 安装 ”, 在 弹出 的 快捷 菜单 中 依次 选择 “新 建 ”* 一 “数据 包 ”, 如 图 3-33 
所 示 。 

(5) 选择 要 进行 发 布 的 文件 ,注意 这 里 要 进行 文件 发 布 的 路 径 必须 是 网 络 路 径 , 共 享 
文件 位 置 可 以 是 本 地 计算 机 ,也 可 以 是 网 络 上 任何 一 台 设 备 . 但 是 要 有 足够 的 访问 权限 ， 
如 图 3-34 所 示 。 

(6) 右 击 新 建 的 数据 包 ,在 快捷 菜单 中 选择 “属性 ?选项 ,打开 软件 发 布 包 的 属性 对 话 
框 。 在 “部 署 ? 选 项 卡 中 进行 部 署 类 型 的 设置 ,如 图 3-35 所 示 。 

(7) 在 客户 机 上 ,以 caiwu 的 身份 登录 ,打开 控制 面板 中 的 添加 新 程序 , 即 可 看 到 通 
过 网 络 部 署 的 程序 ,如 图 3-36 所 示 。 
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和 组 策 罩 管理 编辑 轩 E =l9|x| 
文件 F) 操作 查看 W 帮助 人 0 
和 和 吊 | 六 [中 | 日 GB 日 加 


caiwa [server sbe com] 第 三 
日 史 计算 机 配置 


打开 当前 迁 择 的 属性 对 话 本 > [ ls|®|: 
六 抬 | | 高 国 | _ 卫 组 弟 罗 管理 了 组 第 歼 管 理 坑 可 器 D3 Mb 6: 


图 3-31 选择 软件 安装 属性 


TIx| 
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图 3-32 完成 属性 设置 
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站 组 策略 管理 编辑 导 于 =l9|x| 
文件 四 操作 OO 查看 WM 部 助 00 
面 虽 | 历 吕 |E1 加 下 


软件 设置 
日 昌 计算 机 配置 


国 软 件 安装 


ne 
EE PE 


图 3-33 选择 新 建 数据 包 
看 组 策略 管理 编辑 各 
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图 3-34 选择 要 进行 发 布 的 文件 
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常规 TCD 


部 轩 类 型 
9 
C BRO) 

部 轩 先 项 

末 通过 文件 扩展 名 装备 自动 安装 此 应 用 程序 0D) 

厂 当 此 应 用 程序 不 再 处 于 管理 东 轩 内 时 ， 将 其 郑 载 

厂 了 要 在 “添加 /而 皖 程 序 "控制 面板 中 显示 此 数据 包 如 

三 才 委 条 拉美 比 让 用 得 床 四 


广安 装 用 户 界面 选 质 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
三 基本 四 ) 
最 大 四 


高 Rw | 


Cw ] ws | sse | 
图 3-35 设置 部 署 选项 卡 


昌 法 加 或 删除 程序 


从 CD-RDN 或 软盘 安装 程序 
襄 要 从 CD-ROM 或 软盘 安装 程序 ， 单 击 “CD 或 软盘 ” 


从 卓 crosoft 添加 程序 


荐 村 过 mt 二 于 的 Windows 功能 ， 设 备 驱 动 程序 和 系统 「 Windovs Updete 


从 网 络 添加 程序 类 别 @): [所 有 关 别 | 
CI i 2) 
要 添加 此 程序 ， 单 击 


“添加 ”。 [ET 


图 3-36 ”以 用 户 身份 登录 验证 安装 


A 本章 小 结 


本 章 介绍 了 在 活动 目录 中 基于 组 策略 的 管理 方法 。 重 点 讲解 了 组 策略 的 功能 、 管 理 
与 维护 方法 ,同时 介绍 了 如 何 用 组 策略 进行 个 性 化 设置 和 网 络 环境 下 程序 的 管理 方法 与 
操作 技巧 。 通 过 学 习 要 求 掌握 组 策略 的 功能 、 内 容 、 管 理 与 维护 方法 。 人 掌握 用 组 策略 进行 
桌面 设置 ,收藏 夹 和 链接 、 文 件 夹 重 定向 和 硬件 访问 策略 的 设置 方法 与 操作 要 点 。 掌 握 通 
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过 组 策略 进行 程序 的 远程 安装 和 禁止 运行 的 技术 和 操作 技巧 。 另 外 还 需要 了 解 第 1 章 中 79 
关于 组 策略 的 相关 内 容 , 以 便 形 成 对 组 策略 的 完整 理解 与 认识 。 


4 区 本 章 习题 


. 简 述 组 策略 的 功能 与 内 容 。 

. 简 述 软件 的 部 署 方式 和 禁止 程序 运行 的 方法 。 

. 禁止 某 单位 行政 组 计算 机 运行 Outlook Express。 
.只 允许 某 单位 服务 组 用 户 运行 Microsoft Office。 
. 实现 Office 的 自动 安装 。 


am 性 
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SNMP 


【本 章 重点 】 

本 章 要 求 掌握 网 络 管理 的 基本 概念 ,理解 管理 信息 库 的 基本 知识 和 SNMP 的 协议 单 
元 格式 及 操作 ,了 解 远程 网 络 监控 的 知识 。 如 果 学 时 较 少 ,可 只 学 习 4.1 节 ,有 关 SNMP 
的 内 容 不 进行 学 习 。 


计算 机 网 络 最 初 发 展 时 ,网 络 设备 的 数目 很 少 ,网 络 管理 员 只 需要 Ping 每 台 计算 机 ， 
并 通过 自动 返回 的 信息 就 可 以 判断 网 络 是 否 出 了 故障 。 当 计算 机 网 络 向 全 球 草 延 ,并 最 
终 形成 全 球 化 的 Internet 时 ,已 有 成 千 上 百 家 网 络 设备 厂商 生产 出 了 几 万 种 不 同 的 网 络 
设备 ,计算 机 网 络 的 管理 成 了 巨大 的 难题 。 为 了 解决 网 络 管理 与 维护 ,如 何 对 网 络 进行 有 
效 的 管理 变 成 我 们 研究 的 问题 。 


4.1 网 络 管理 协议 概述 


在 网 络 构建 过 程 中 ,大 量 不 同型 号 不同 生 产 厂 家 的 设备 要 混合 使 用 ,不 同类 型 的 网 
络 之 间 要 互相 联通 ,这 就 需要 网 络 管理 系统 提供 一 个 统一 的 ,全面 的 接口 .并 达到 以 下 
目标 : 

。 具有 统一 的 协议 和 服务 ,以 便 管理 信息 可 以 保持 一 致 性 。 

。 对 网 络 性 能 、 安 全 ,配置 . 计 费 和 故障 等 方面 有 标准 的 定义 。 

。 允许 增加 新 的 应 用 与 服务 。 

。 减 少 不 同 系统 之 间 交 换 信息 的 费用 。 

1979 年 ,国际 标准 化 组 织 (ISO) 开 始 对 网 络 管理 的 标准 化 进行 研究 ,随后 国际 电报 电 
话 咨询 委员 会 (CCITT) 也 参与 了 这 项 研究 。1989 年 ISO 颁布 了 ISO DIS7498 一 4 
(X .700) 文 件 ,其 定义 了 网 络 管理 的 基本 概念 和 总 体 框架 。1991 年 ,ISO 又 颁布 了 公共 
管理 信息 服务 即 CMIS(ISO 9595) 和 公共 管理 信息 协议 即 CMIP(ISO 9596)。CMIP 是 
在 TCP/IP 的 SNMP 的 基础 之 上 设计 的 。 

CMIP 采用 了 面向 对 象 的 技术 .不 仅 有 数值 属性 ,而且 有 行为 属性 ,是 一 种 真正 的 面 
向 对 象 的 技术 。 但 是 相对 于 SNMP 而 言 ,CMIP 的 实现 需要 大 量 资源 ,因此 CMIP 没 能 
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流行 起 来 。1992 年 ISO 公布 了 系统 管理 功能 即 SMF (ISO 10164) 和 管理 信息 结构 即 
SMI(ISO 10165) ,这 些 文件 共同 组 成 了 ISO 的 网 络 管理 标准 。 虽 然 ISO 制定 的 标准 非常 
强大 ,但 也 非常 复杂 ,因此 目前 有 关 ISO 管理 的 实现 非常 缓慢 。 

随 着 Internet 的 迅速 发 展 , 有 关 TCP/IP 网 络 管理 的 研究 活动 十 分 活跃 ,相关 的 网 络 
管理 标准 也 被 广泛 应 用 ,成 为 事实 上 的 标准 。TCP/IP 网 络 管理 标准 称 为 简单 网 络 管理 
协议 (SNMP) ,其 公布 在 1990 和 1991 年 的 几 个 RFC 文件 中 , 即 RFC1155(SMI) ， 
RFC1157(CSNMP),RFC1212(MIB 定义 ),RFC1213(MIB-2 规范 )。 由 于 SNMP vl 过 于 
简单 ,造成 系统 不 够 安全 和 管理 上 的 不 完善 。 几 年 后 产生 了 简单 网 络 管理 协议 第 二 版 
(SNMP v2) ,其 定义 在 RFC1902 一 RFC1908 文档 中 。SNMP v2 组 合 了 RMON 等 内 容 ， 
使 得 SNMP 在 安全 和 性 能 方面 都 有 了 提高 。 

除了 上 述 两 个 网 络 管理 标准 外 ,还 有 IEEE 定义 的 局 域 网 (LAN/MAN) 的 管理 标准 
IEEE802. 1b, 以 及 ITU-T 为 了 适应 电信 网 络 管理 的 需要 在 1989 年 定义 的 电信 和 网络 管理 
标准 即 TMN(CM. 30 建议 蓝皮书 ) 等 。 

1. 网 络 管理 体系 结构 的 基本 概念 

对 网 络 管理 的 能 力 进行 抽象 ,人 们 提出 了 网 络 管理 体系 结构 的 概念 。 用 于 定义 网 络 
管理 系统 的 结构 及 系统 成 员 间 相 互 关系 的 一 套 规 则 就 是 网 络 管理 体系 结构 。 根 据 网 络 管 
理 体系 结构 的 定义 可 知 ,网 络 管理 体系 结构 需要 研究 单个 网 络 管理 系统 内 部 的 结构 及 其 
成 员 之 间 的 关系 ,以 及 研究 多 个 网 络 管理 系统 如 何 相互 兼容 并 连接 构成 可 以 管理 复杂 网 
络 的 管理 系统 。 在 网 络 管理 体系 结构 中 ,网 络 管理 被 抽象 成 一 种 独特 的 网 络 应 用 。 

网 络 管理 体系 结构 工作 在 协议 的 上 层 , 这 是 网 络 管理 工作 的 基础 结构 。 网 络 管理 体 
系 结构 的 特点 是 : 

。 管理 功能 分 为 管理 站 (Manager) 和 代理 (Agent) 两 部 分 。 

。 为 存储 管理 信息 提供 关系 数据 库 或 面向 对 象 的 数据 库 支持 。 

。 提供 用 户 接口 和 用 户 视图 ,如 GUI 和 管理 信息 浏览 器 等 。 

。 提供 基本 的 管理 操作 ,如 获取 管理 信息 、 设 置 参 数 以 及 警告 等 操作 。 

网 络 管理 体系 结构 示意 图 如 图 4-1 所 示 。 

被 管 设备 


被 管 设 备 被 管 设备 被 管 设备 


图 4-1 网 络 管理 体系 结构 示意 图 
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2. TCP/IP 网 络 管理 体系 结构 
SNMP 早 在 1987 年 就 制定 ,而 且 不 断 有 新 的 协议 推出 ,但 是 SNMP 凭借 其 结构 简 
单 、 使 用 方便 、 且 与 TCP/IP 联系 紧密 的 特点 一 直到 今天 仍然 被 广泛 地 使 用 。SNMP 管理 
体系 结构 由 管理 者 (Manager) ,代理 (Agent) 和 管理 信息 库 (MIB) 三 部 分 组 成 。 
管理 者 是 管理 指令 的 发 出 者 ,这 些 指令 包括 查询 和 设置 参数 等 管理 操作 ,管理 者 通过 
各 设备 的 管理 代理 对 网 络 内 的 各 种 设备 .设施 和 资源 实施 监控 。 代 理 负责 管理 指令 的 执 
行 ,并 根据 结果 返回 给 管理 者 一 些 信息 。 代 理 有 三 个 基本 功能 : 
。 从 MIB 中 读 取 各 种 变量 值 。 
。 根据 管理 者 的 要 求 修 改 MIB 中 的 各 种 变量 值 。 
。 当代 理 设备 出 现 问题 时 ,以 通知 的 形式 向 管理 者 报告 被 管 对 象 发 生 的 一 些 重要 
事件 。 
管理 者 和 代理 之 间 主 要 以 请 求 /应 等 方式 工作 。 管 理 者 向 代理 发 出 请 求 指令 ,获取 或 
者 设置 网 络 元 素 的 参数 。 代 理 向 管理 员 返 回应 答 响 应 ,报告 请 求 的 执行 结果 ;为 了 使 一 个 
管理 员 可 以 管理 多 个 代理 , 常 采用 轮 询 的 方式 。 
MIB 是 被 管 对 象 结构 化 组 织 的 一 种 抽象 。MIB 是 一 个 概念 上 的 数据 库 , 由 管理 对 象 
组 成 ,各 个 代理 管理 MIB 中 属于 本 地 的 管理 对 象 ,各 管理 代理 控制 的 管理 对 象 共同 构成 
全 网 的 管理 信息 库 。 
SNMP 是 一 个 异步 的 请 求 /响应 协议 ,其 实体 不 需要 在 发 出 请 求 后 等 待 响应 的 到 来 。 
SNMP 中 包括 了 5 种 基本 的 操作 : 
。 get-request 操作 用 来 查询 指定 的 网 络 管理 对 象 的 信息 。 
。 get-next-request 操作 用 来 查询 指定 的 网 络 管理 对 象 的 下 一 个 对 象 的 信息 ,其 还 
可 以 遍历 MIB 树 并 判断 哪些 对 象 存在 。 
。 set-request 操作 用 来 修改 或 创建 管理 对 象 及 其 信息 。 
。 get-response 操作 是 由 代理 方 发 出 的 ,所 以 它 不 是 管理 操作 , 它 的 作用 是 返回 由 
get、get-next 或 set 操作 发 出 的 查询 或 设置 操作 的 结果 。 
trap 操作 也 是 由 代理 发 出 的 , 它 可 以 查找 特定 的 事件 并 检测 ,并 向 管理 者 通报 重 
要 事件 的 发 生 。 
SNMP 在 计算 机 网 络 系统 中 应 用 非常 广泛 .已 经 成 为 事实 上 的 计算 机 网 络 管理 标 
准 。 但 是 SNMP 有 许多 缺点 ,是 它 自 身 难 以 克服 的 : 
。 SNMP 的 最 大 问题 是 太 过 简单 而 无 法 处 理 各 种 细节 信息 ,无 法 满足 当今 日 益 膨胀 
的 网 络 的 发 展 需 要 ,这 也 是 SNMP v2 以 及 SNMP v3 出 现 的 原因 。 
。 SNMP 不 适合 真正 大 型 网 络 的 管理 .因为 它 是 基于 轮 询 机 制 的 ,这 种 方式 有 严重 
的 性 能 问题 ,如 不 适合 查询 大 量 的 数据 。 
。 SNMP 存在 一 些 安全 管理 漏洞 ,网 络 和 人 侵 者 很 容易 获取 正在 通过 网 络 传 递 的 各 种 
信息 ,甚至 可 以 关闭 某 些 终端 。 
。 SNMP 的 trap 是 无 确认 的 ,这 样 不 能 确保 管理 者 接收 到 了 非常 严重 的 警告 信息 。 
。 SNMP 不 支持 如 创建 ,删除 等 类 型 的 操作 .要 完成 这 些 操作 ,必须 用 set 命令 间接 
地 触发 。 
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。SNMP 的 MIB 模型 不 适合 比较 复杂 的 查询 ,因此 没有 一 个 标准 或 建议 定义 了 
SNMP 网 络 管理 体系 结构 。 另 外 ,由 于 定义 了 太 多 的 管理 对 象 类 , 当 管 理 者 需要 
查询 或 修改 时 ,他 必须 明白 这 些 管 理 对 象 类 的 准确 含义 。 


4.2 管理 信息 库 


管理 信息 库 (Management Information Base,MIB) ,是 一 个 以 层次 式 树 状 结构 为 组 织 
结构 的 管理 信息 集合 ,所 有 的 管理 对 象 都 分 布 在 这 个 树 状 结构 中 。MIB 被 SNMP 访问 和 
使 用 。 


4.2.1 管理 信息 结构 


管理 信息 结构 (Structure of Management Information,SMI) ,为 命名 和 定义 管理 对 
象 指定 了 一 套 规则 。 上 百 家 厂 商 的 产品 都 遵循 这 个 规则 ,以 使 网 络 设 备 能 够 相互 兼容 。 

1. ASN. 1 简介 

ASN. 1 是 抽象 语法 符号 1(Abstract Syntax Notation One) 的 简称 ,是 一 种 标准 的 对 
象 定义 语言 和 编码 规则 。 虽 然 它 太 复杂 、 缺 点 多 以 及 运算 效率 不 高 ,但 是 SNMP 已 经 完 
全 融 进 ASN.1 了 ,所 以 要 想 了 解 SNMP .就 必须 熟悉 ASN. 1 。 

在 SNMP 上 应 用 的 ASN. 1 有 一 些 用 词 上 的 惯例 : 

。 固 有 的 数据 类 型 一 般 都 以 大 写字 母 表示 ,如 OCTET STRING。 

。 用 户 自 定义 的 数据 类 型 以 大 写字 母 开 头 .但 至 少 有 一 个 非 大 写字 母 ,以 便 与 固有 
的 数据 类 型 区 分 开 。 
标识 符 可 以 包括 大 写字 母 、 小 写字 母 , 数 字 和 下 划 线 ,但 必须 以 小 写字 母 开 头 , 如 
internet。 
。 空格 ` 回 车 符 和 Tab 键 并 不 十 分 重要 。 
。 注释 以 字符 串 “--”" 开 头 ,直到 行 尾 或 下 一 个 字符 串 *--” 出 现 。 
ASN. 1 一 共有 5 种 固有 的 基本 数据 类 型 ,如 表 4-1 所 示 为 这 些 类 型 及 其 说 明 。 

表 4-1 在 SNMP 中 使 用 的 ASN.1 的 基本 数据 类 型 及 其 说 明 


基本 数据 类 型 说 明 
INTEGER 任意 长 度 的 整 型 数 
BIT STRING 一 个 0 或 多 位 比特 的 串 
OCTET STRING 一 个 0 或 多 位 无 符号 字 节 串 
NULL 位 置 符 ,表示 为 空 
OBJECT IDENTIFIER 对 象 标识 符 类 型 


理论 上 没有 规定 INTEGER 类 型 的 长 度 范围 ,但 是 其 他 的 SNMP 规则 限制 了 它 的 范 
围 ,因为 实际 应 用 中 不 可 能 出 现 无 限 大 这 种 情况 。 下 面 列举 了 一 个 使 用 INTEGER 类 型 
的 例子 ,用 ASN. 1 定义 了 一 个 INTEGER 类 型 的 变量 counter 并 初始 化 为 1 。 
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示例 如 下 : 
Counter INTEGER: :=1 


有 时 也 需要 一 种 整 型 的 子 类 型 ,将 变量 的 值 限定 为 特定 的 一 些 值 或 在 一 定 的 范围 里 ， 
实际 应 用 中 这 种 情况 较 常 见 。 例 如 ,定义 一 个 状态 子 类 型 Status, 其 定义 如 下 : 


Status: :=INTEGER{up (1) ,down (2) , unknown (3) } 


定义 好 后 ,就 可 以 应 用 这 种 子 类 型 了 。 例 如 接口 1(Interfacel ) 的 定义 。 
示例 如 下 : 


Interfacel status::=1 


BIT STRING 是 比特 串 ,其 每 一 个 比特 要 不 是 0, 要 不 是 1。 与 其 相似 的 是 OCTET 
STRING( 无 符号 字 节 串 ) 类 型 ,只 不 过 这 种 类 型 中 每 一 个 字 节 的 范围 是 0 一 255。 上 述 两 
种 类 型 ,可 定义 串 的 长 度 和 初 值 。 

NULL 表示 空 ,或 是 位 置 符 。 例 如 在 SNMP 的 get 操作 的 对 象 标识 符 值 域 中 就 是 
NULL 类 型 。 

OBJECT IDENTIFIER 是 一 种 标识 管理 对 象 的 方法 ,这 些 管 理 对 象 被 组 织 成 一 种 树 
的 结构 存放 ,从 树 的 “ 根 ? 开 始 到 每 一 个 管理 对 象 都 有 唯一 的 一 条 路 径 , 相 应 地 也 就 有 唯一 
的 一 个 标识 。 例 如 ,定义 internet 的 对 象 标 识 符 。 

示例 如 下 : 


internet OBJECT IDENTIFIER: := {iso(1) org(3) dod(6) internet (1)} 


ASN. 1 基本 上 是 一 种 原始 的 数据 声明 语言 ,除了 上 述 5 种 基本 数据 类 型 以 外 , 它 还 
允许 用 户 自 定义 原 语 对 象 ,然后 再 把 它们 组 合成 复杂 的 构造 对 象 。 构 造 类 型 有 4 种 方法 ， 
如 表 4-2 所 示 。 


表 4-2 构造 类 型 说 明 


类 型 标识 符 说 明 
SEQUENCE 一 个 或 多 个 基本 类 型 的 有 序 集合 
SEQUENCE OF 0 个 或 多 个 基本 类 型 有 序 集合 的 数组 
SET 一 个 或 多 个 基本 类 型 的 无 序 集合 
SET OF 0 个 或 多 个 基本 类 型 无 序 集合 的 数组 


2. ASN. 1 转换 语法 

ASN. 1 只 能 在 设计 时 写 在 纸 上 ,为 了 能 够 在 实际 的 应 用 中 也 使 用 ASN. 1, 设 计 者 又 定 
义 了 ASN. 1 的 转换 语法 , 它 定 义 了 ASN. 1 类 型 的 值 如 何 转换 为 适合 传输 的 字 节 序列 。 

ASN. 1 转换 语法 是 使 用 基本 编码 规则 (Basic Encoding Rules,BER) 进 行 二 进 制 代码 
编写 的 。BER 的 编写 规则 是 : 每 一 个 传输 的 值 ,不 论 是 固有 的 ( 原 语 ), 还 是 用 户 自 定义 
(构造 ) 的 ,最 多 由 三 个 字段 组 成 。 
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”标识 符 : 包括 类 型 和 标记 。 85 
。 数据 字段 的 长 度 , 以 字 节 为 单位 。 

”数据 字段 。 

标识 符 位 于 第 一 个 字段 , 它 标识 了 后 面 的 项 ,其 本 身 有 三 个 子 字段 ,如 图 4-2 所 示 。 


| Tag(6、7 位 ) | Type(5 位 ) Number(4、3、2、1 、0 位 ) 


4-2 标识 符 字段 


标识 符 最 高 两 位 编码 (Tag) 标 识 后 面 数据 的 作用 , 它 共 有 4 种 选项 ,如 表 4-3 所 示 为 
取 值 及 其 含义 。 
表 4-3 标识 符 最 高 两 位 的 取 值 及 其 含义 


取 值 (二 进 制 表示 ) 含 入 
00 表示 通用 的 (Universal) 
01 表示 应 用 程序 的 (Application) 
10 表示 上 下 文 相 关 的 (Context Specific) 
型 表示 私有 的 (Private) 


标识 符 的 下 一 位 (Type) 是 表示 类 型 的 , 取 0 时 表示 是 原 语 类 型 (固有 的 ), 取 1 时 表 
示 是 构造 类 型 (用 户 自 定义 的 ,由 多 个 原 语 类 型 组 成 的 “结构 ” 体 )。 

标识 符 低 5 位 (Number) 是 标识 后 面 数据 的 数据 类 型 的 ,类 型 表示 及 其 标识 代码 如 
表 4-4 所 示 。 类 型 也 可 自 定 ,如 果 类 型 在 0 一 30 的 范围 内 , 则 直接 使 用 即 可 ,但 当 类 型 代 
码 超过 30 时 ,Number( 低 5 位 ) 被 置 为 11111( 二 进 制 全 1) ,然后 在 后 面 增加 一 到 多 个 字 
节 表 示 ,这 些 字 节 的 低 7 位 用 来 表示 数据 ,高 1 位 表示 是 否 是 结束 , 当 高 1 位 为 1 时 表示 
是 最 后 一 个 字 节 ,其 余 的 高 1 位 均 为 0。 


表 4-4 数据 类 型 及 其 标识 代码 


数据 类 型 标识 符 代码 数据 类 型 标识 符 代码 
INTEGER 2 OBJECT IDENTIFIER 6 
BIT STRING 3 SEQUENCE and SEQUENCE OF 16 
OCTET STRING 4 SET and SET OF 17 
NULL 5 


例如 ,私有 的 复合 结构 ,类 型 代码 为 50 的 BER 编码 的 二 进 制 形式 是 11111111 
10110010; 再 例如 ,通用 的 原 语 结构 ,标识 为 整 型 的 BER 编码 的 二 进 制 形式 是 00000010。 

数据 字段 的 长 度 位 于 标识 符 字 段 后 ,但 是 因为 标识 符 字 段 是 不 定 长 的 ,所 以 数据 字段 
的 长 度 项 具体 位 于 第 几 个 字 节 ,还 要 具体 问题 具体 分 析 。 

数据 字段 的 长 度 项 指出 后 面 要 用 多 少 个 字 节 来 存储 数据 (注意 : 长 度 不 包括 这 个 字 
段 本 身 和 标识 符 字段 ) 。 
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当 数 据 长 度 小 于 128 时 ,用 一 个 字 节 来 表示 这 个 字段 ,其 中 最 高 位 记 为 0, 其余 低 7 
位 用 来 表示 长 度 ; 当 长 度 的 值 大 于 128 时 ,第 一 个 字 节 用 来 说 明 用 几 个 字 节 来 表示 长 度 ， 
其 中 最 高 位 记 为 1, 其 余 低 7 位 用 来 表示 长 度 值 用 了 几 个 字 节 。 

例如 ,要 表示 的 数据 长 度 为 15, 则 BER 编码 的 二 进 制 形式 是 00001111; 再 例如 ,要 表 
示 的 数据 长 度 为 1000, 则 BER 编码 的 二 进 制 形式 是 10000010 00000011 11101000, 其 中 
第 一 字 节 的 最 高 位 是 1, 并 且 低 7 位 的 值 是 2, 表示 后 面 还 有 两 个 字 节 来 表示 数据 长 度 ,后 
两 个 字 节 表示 实际 的 数据 长 度 值 1000。 

数据 字段 项 是 实际 数据 的 存储 位 置 , 它 的 编码 依赖 当前 数据 的 类 型 。 

如 果 是 INTEGER 类 型 , 则 以 二 进 制 的 补 码 方式 编码 ,小 于 128 的 正 整数 需要 用 1 个 
字 节 表示 ,小 于 32 768 的 正 整 数 需 要 用 2 个 字 节 表示 ,以 此 类 推 。 

如 果 是 BIT STRING 类 型 , 则 编码 内 容 不 变 , 长 度 域 表 示 需 要 用 到 的 字 节 个 数 ,并 在 
实际 的 位 串 之 前 加 一 个 字 节 表 示 位 串 最 后 一 个 字 节 不 用 的 位 数 。 例 如 ,位 串 010011111 
被 编码 为 00000111 01001111 10000000, 其 中 第 一 字 节 不 是 实际 数据 , 它 表 示 最 后 一 个 字 
节 有 几 个 位 不 用 ,本 例 中 的 值 是 7, 也 即 表 示 最 后 一 个 字 节 中 的 最 高 一 位 有 效 , 其 余 均 无 
效 ; 第 二 个 字 节 中 存储 的 是 位 串 前 8 位 的 值 ,第 三 个 字 节 的 最 高 位 中 存放 了 位 串 的 剩余 一 
位 ,其 余 无 效 位 均 为 0。 

如 果 是 OCTET STRING 类 型 , 则 编码 内 容 不 变 。 

如 果 是 NULL 类 型 , 则 长 度 域 为 0, 不 传 任何 数据 。 

如 果 是 OBJECT IDENTIFIER 类 型 , 则 按 MIB 树 的 编码 整数 序列 编码 ,每 一 项 均 按 
照 整数 编码 ,例如 Internet 是 {1,3,6,1), 但 是 ,第 一 个 数值 总 是 0,1 或 2, 第 二 个 数值 总 
是 小 于 40, 所 以 前 两 个 数 可 用 一 个 字 节 编码 ,因此 Internet 编码 后 的 值 是 {43,6,1)。 

BER 的 编码 规则 非常 复杂 ,如 果 没 有 实际 的 数据 ,就 无 法 判断 其 会 占用 多 少 字 节 。 
下 面 列举 一 些 例子 加 以 说 明 。 

INTEGER 类 型 的 50 的 BER 二 进 制 编码 是 00000010 00000001 00110010, 其 中 第 一 
个 字 节 是 标识 符 ,代表 INTEGER 型 ,第 二 个 字 节 是 长 度 , 代 表 数 值 项 占有 一 个 字 节 。 

BIT STRING 类 型 的 1110 的 BER 二 进 制 编码 是 00000011 00000010 00000100 
11100000 ,其 中 第 一 个 字 节 是 标识 符 , 代 表 BIT STRING 类 型 ,第 二 个 字 节 是 长 度 , 代 表 
后 面 的 数值 占有 两 个 字 节 ,第 三 个 字 节 表示 位 串 的 最 后 一 个 字 节 的 后 几 位 无 效 。 

OCTET STRING 类 型 的 ab 的 BER 二 进 制 编码 是 00000100 00000010 01100001 
01100010, 其 中 第 一 个 字 节 是 标识 符 , 代 表 OCTET STRING 类 型 ,第 二 个 字 节 是 长 度 ,代表 
实际 数据 占用 两 个 字 节 ,第 三 字 节 是 a 的 ASCII 码 值 .第 四 个 字 节 是 b 的 ASCII 码 值 。 

NULL 类 型 的 BER 二 进 制 编码 是 0000101 00000000, 其 中 第 一 个 字 节 表示 标识 符 ， 
代表 NULL 类 型 ,长 度 为 0, 值 域 项 没有 。 

OBJECT IDENTIFIER 类 型 的 “1. 3. 6.1” 的 BER 二 进 制 编码 是 00000110 00000011 
00101000 00000110 00000001 ,其 中 第 一 个 字 节 表 示 标 识 符 , 代 表 OBJECT IDENTIFIER 
类 型 ,长 度 为 3, 代 表 实 际 数据 共 占 有 三 个 字 节 (“1. 3? 两 个 值 共 占 一 个 字 节 ) ,第 三 个 字 节 
表示 “1. 3”, 第 四 个 字 节 表示 “6”, 第 五 个 字 节 表示 “1”。 
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3. SMI 
在 实际 的 设备 中 所 有 的 管理 信息 和 对 象 都 存放 在 库 中 (MIB) ,为 了 方便 人 们 的 记忆 
和 管理 ,设计 者 使 用 了 一 个 有 层次 的 树 状 结构 来 表示 这 些 管理 对 象 。SMI 对 于 MIB 来 说 
就 相当 于 模式 对 于 数据 库 。SMI 定义 了 每 一 个 对 象 "看 上 去 像 什 么 ”。 图 4-3 显示 了 SMI 
定义 的 MIB 树 的 项 部 。 


在 这 个 树 状 结构 中 ,internet 对 象 可 ccitt(0) iso(1) joint-iso-ccitt(2) 
以 由 以 下 代码 标识 : {iso(1) org(3) dod 
(6) internet(1)) 或 者 简 记 为 {1. 3. 6. 1) 。 本 

这 种 标识 方法 叫 作对 象 标识 符 (Object dod(6) 
Identifier,OID) ,用 于 标识 一 个 管理 对 象 ， intemet(1) 
以 及 在 MIB 中 如 何 访问 该 对 象 。 

每 一 个 OID 在 整个 MIB 树 中 都 是 唯 a - 

dire ctory(1) mgmt(2) experimental(3) private(4) 
一 的 ,就 如 同 实 际 生活 中 每 一 个 中 华人 民 | 
共和 国 的 公民 都 会 有 一 个 与 自己 相对 应 mn) enterprises(1) 
| 


的 身份 证 号 ,这 个 号 码 由 省 (或 直辖 市 等 ) Ee es 
号 ,市 号 ,出 生年 月 ,编号 以 及 校 验 码 组 ”图 4-3 RFC1155(SMD 定 义 的 MIB 树 的 顶部 图 
成 ,这 种 按 层次 的 组 成 方法 可 以 保证 每 一 
个 人 都 有 一 个 唯一 的 号 码 , 而 且 通 过 这 种 方法 可 以 非常 容易 地 记忆 和 查询 。 

SMI 不 定义 MIB 对 象 ,但 其 规定 了 定义 管理 对 象 的 格式 。 一 个 对 象 定义 通常 包括 5 
个 域 。 


OBJECT: 是 一 个 字符 串 名 , 它 叫 OBJECT DESCRIPTOR , 它 指 定 对 象 类 型 ,这 
个 类 型 和 OBJECT IDENTIFIER 相对 应 。 
SYNTAX: 对 象 类 型 的 抽象 语法 。 它 必须 可 以 解析 到 ASN. 1 类 型 OBJECT 
SYNTAX 的 一 个 实例 上 。 
DEFINITION: 对 象 类 型 语义 的 文本 描述 。 实 现 中 必须 保证 对 象 的 实例 满足 这 
个 定义 ,因为 这 个 MIB 是 用 于 多 厂商 环境 中 的 ,要 照顾 到 它们 的 情况 。 对 象 在 不 
同 的 机 器 上 有 相同 的 意义 是 很 重要 的 ,这 要 靠 文本 约束 。 
ACCESS: 取 只 读 、 读 写 、 只 写 或 不 能 访问 这 4 个 值 。 
STATUS: 强制 (mandatory) 、 可 选 (optional) 或 过 时 的 (obsolete)。 

其 中 ,语法 是 根据 对 象 类 型 定义 对 象 结构 的 ,定义 时 使 用 ASN. 1, 但 ASN. 1 中 的 一 
些 通 用 化 需要 加 以 限制 。SMI 中 使 用 三 种 语法 : 原始 类 型 构造 类 型 和 自 定义 类 型 。 

原始 类 型 和 构造 类 型 在 4. 1 节 中 已 经 讲解 过 了 。 原 始 类 型 包括 INTEGER、OCTET 
STRING、OBJECT IDENTIFIER 和 NULL 等 。 构 造 类 型 使 用 SEQUENCE 或 
SEQUENCE OF 建立 行 或 表 。 

SMI 允许 在 一 个 新 应 用 产品 的 范围 内 由 用 户 自 定义 类 型 ,但 这 些 类 型 必须 能 够 分 解 
为 基本 类 型 行 表 或 其 他 自 定义 类 型 。SMI 中 定义 了 用 于 SNMP 的 一 些 自 定义 类 型 ,其 
类 型 值 和 说 明 如 表 4-5 所 示 。 
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SMI 自 定义 类 型 值 


表 4-5 SMI 自 定义 类 型 值 及 其 说 明 
说 明 


NetworkAddress 


此 类 型 代表 多 个 可 能 的 协议 篮 中 的 一 个 地 址 格式 ,当前 只 有 Internet 协议 簇 


IpAddress 


此 类 型 代表 32 位 的 IP 地 址 , 它 表 示 为 长 度 为 4 的 字符 串 。 在 ASN. 1 类 型 使 用 
BER 规则 进行 编码 时 ,只 能 使 用 原始 编码 形式 


这 种 定义 的 类 型 代表 一 个 非 负 整数 , 它 只 能 增加 ,直到 最 大 值 。 当 达到 最 大 值 后 ， 
它 会 返回 0 重新 开始 。RFC1155 指定 它 的 最 大 值 为 2* 一 1, 也 就 是 4 294 967 295。 


ee 它 也 称 为 循环 计数 器 ,是 定义 对 象 时 常见 的 类 型 之 一 。 此 类 型 典型 的 应 用 是 对 
接收 或 发 送 的 数据 包 和 字 节 的 数目 计数 
G 此 类 型 代表 一 个 非 负 整数 , 它 可 以 增加 或 减少 ,但 在 最 大 值 时 停止 。RFC1155 指 
定 它 的 值 为 4 294 967 295 
此 类 型 为 非 负 整数 ,用 于 记录 从 一 个 时 间 点 起 经 过 了 多 少 个 百 分 之 一 秒 的 时 间 。 
TimeTicks 此 类 型 是 和 计时 器 相关 的 ,是 两 个 时 间 点 的 差 值 ,所 以 定义 时 需要 在 描述 里 告诉 
用 户 这 两 个 时 间 参 考点 
a 此 类 型 支持 对 ASN. 1 语法 进行 扩充 。 此 类 型 只 要 求 接收 方 能 够 对 数据 进行 解 
a 密 ,并 没有 要 求 接收 方 一 定 要 理解 其 内 容 
Da 可 打印 的 字符 串 ,使 用 可 读 的 字符 ,是 一 种 方便 阅读 的 类 型 。 定 义 为 
AV DisplayString: : = OCTET STRING 
PhysAddress 存放 接口 的 MAC 地 址 。 定 义 为 PhysAddress:: 二 OCTET STRING 


如 图 4-4 所 示 为 两 个 SMI 的 例子 。 第 一 个 例子 是 叫 作 lostPackets 变量 , 它 用 于 路 由 
器 或 其 他 处 理 分 组 的 设备 。 第 二 个 例子 是 叫 作 ipAddrTable 的 变量 , 它 用 于 描述 地 址 表 ， 
其 类 型 是 一 个 构造 类 型 ,: :一 符号 后 的 值 指明 它 在 MIB 树 上 的 位 置 。 


4.2.2 ”MIB-2 功能 组 


在 RFC1156 文档 中 定义 了 SNMP 第 一 个 版 本 的 管理 信息 库 (MIB-1), 随 后 又 在 
RFC1213 文档 中 定义 了 第 二 个 版 本 的 管理 信息 库 (MIB-2)。MIB-2 是 对 MIB-1 进行 的 
扩展 和 修改 ,现在 的 SNMP 都 是 以 MIB-2 为 基准 的 。 

1. MIB-2 功能 组 

MIB-2 由 9 个 功能 组 组 成 。 


。 system 组 : 


interfaces 组 : 包含 关于 系统 中 网 络 接口 的 信息 。 


提供 运行 代理 的 设备 或 系统 的 全 部 信息 。 


*。 at 组 : IP 地 址 到 数据 链 路 地 址 的 地 址 转换 表 , 但 是 这 个 组 随 着 RFC1213 的 引退 
而 逐渐 被 放弃 了 ,其 内 容 也 被 移 到 了 其 他 的 文档 (组 ) 中 。 


ip 组: 包含 关于 设备 的 IP 地 址 信息 。 
icmp 组 : 包含 关于 设备 的 Internet 控制 消息 协议 的 信息 。 


。tcp 组 : 包含 关于 设备 的 传输 控制 协议 的 信息 。 

。udp 组 : 包含 关于 设备 的 用 户 数据 报 协 议 的 信息 。 

。egp 组 : 包含 关于 设备 的 外 部 网 关 协 议 的 信息 , 随 着 SNMP 的 发 展 ,这 个 组 现在 
也 已 经 不 再 使 用 了 。 


lostPackets OBJECT-TYPE 


SYNTAX Counter --usea32-bit counter 

ACCESS read-only --the management station may not change it 
STATUS current -~-this variable is not obsolete (yet) 
DESCRIPTION 


“The number of packets lost since the last boot” 
: := {experimental 20} 


ipAddrTable OBJECT-TYPE 
SYNTAX 
ipAddrEntry ::= SEQUENCE{ 
ipAdEntAddr 
ipAddress, 
ipAdEntIffndex 
INTEGER, 
ipAdEntNetMask 
ipAddress, 
ipAdEntBcastAddr 
INTEGER, 
ipAdEntReasm MaxSize 
INTEGER (0..65535) 
} 
ACCESS not-accessible 
STATUS mandatory 
DESCRIPTION 
“The table of addressing kinformation relevant to this entity’s IP address.” 
:= {ip 20} 


图 4-4 ”SMI 定义 示例 


。 snmp 组 : 包含 关于 设备 的 简单 网 络 管理 协议 的 信息 。 

2. MIB-2 功能 组 的 常用 对 象 

(1) system 组 

system 组 提供 有 关 被 管 系统 的 总 体 信息 。 表 4-6 列 出 了 该 组 中 各 个 对 象 的 名 称 、 句 
法 .访问 权限 和 对 象 描述 。 


表 4-6 system 组 中 的 对 象 


Object Syntax Access Description 
sysDescr DisplayString (SIZE(0…255)) | RO | 对 实体 的 描述 ,如 硬件 .操作 系统 等 
sysObjectID | OBJECT IDENTIFIER RO 实体 中 包含 的 网 络 管理 子 系统 的 厂商 标识 
sysUpTime | TimeTicks RO | 系统 的 网 络 管理 部 分 本 次 启动 以 来 的 时 间 


sysContect | DisplayString (SIZE(0…255)) | RW | 该 被 管 节 点 负责 人 的 标识 和 联系 信息 


sysName DisplayString (SIZE(0…255)) | RW | 该 被 管 节点 被 赋予 的 名 称 
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Object 


Syntax 


Access 


续 表 


Description 


sysLocation | DisplayString (SIZE(0…255)) 


RW | 该 节点 的 物理 地 点 


sysService | INERGER(0…127) 


(2) interfaces 组 
interfaces 组 包含 实体 物理 接口 的 一 般 信息 ,包括 配置 信息 和 各 接口 中 所 发 生 的 事件 
的 统计 信息 。 表 4-7 列 出 了 该 组 中 各 个 对 象 的 名 称 、 名 法、 访问 权 限 和 对 象 描述 。 
表 4-7 interfaces 组 中 的 对 象 


RO 


指出 该 节点 所 提供 的 服务 的 集合 ,7 个 比特 
对 应 7 层 服务 


Object Syntax Access Description 
itNumber INTEGER RO 网 络 接口 的 数目 
ifTable SEQUENCE OF ifEntry NA 接口 条 目 清单 
ifEntry SEQUENCE NA 包含 子 网 及 其 以 下 层 对 象 的 接口 条 目 
ifIndex INTEGER RO 对 应 各 个 接口 的 唯一 值 
2 DisplayString 有 关 接 口 的 信息 ,包括 厂商 、 产 品名 称 、 
WDeeer (SIZE(0…255)) RO 。 | 硬件 接口 版 本 
ifType INTEGER RO “| 接口 类 型 ,根据 物理 或 链 路 层 协议 区 分 
ifMtu INERGER RO a i 
ifSpeed Gauge RO 接口 当前 数据 速率 的 估计 值 
ifPhysAddress PhysAddress RO 网 络 层 之 下 协议 层 的 接口 地 址 
ifAdminStatus INTEGER RW i fn 状态 tap CD dbwat2D, 
ifOperStatus INTEGER RO pl en fa 下 和 apo 
ifLastChange TimeTicks RO 接口 进入 当前 操作 状态 的 时 间 
ifInOctets Counter RO 接口 收 到 的 8 元 组 的 总 数 
ifInUcastPkts Counter RO 递交 到 高 层 协议 的 子 网 单 播 的 分 组 数 
ifInNUcastPkts Counter RO 递交 到 高 层 协议 的 非 单 播 的 分 组 数 
ifInDiscards Counter RO 被 丢弃 的 进 站 分 组 数 
ifInErrors Counter RO 有 错 的 进 站 分 组 数 
ifInUnkownProtos | Counter RO 由 于 协议 未 知 而 被 丢弃 的 分 组 数 
ifOutOctets Counter RO “| 接口 发 送 的 8 元 组 的 总 数 
ifOQutUcastPkts Counter RO 发 送 到 子 网 单 播 地 址 的 分 组 总 数 
ifOutNUcastPkts Counter RO 发 送 到 非 子 网 单 播 地 址 的 分 组 总 数 
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续 表 
Object Syntax Access Description 
ifOutDiscards Counter RO 被 丢弃 的 出 站 分 组 数 
ifOutErrors Counter RO 不 能 被 发 送 的 有 错 的 分 组 数 
ifOutQLen Gauge RO 输出 分 组 队列 长 度 
ifSpecific OBJECT IDENTIFIER RO 参考 MIB 对 实现 接口 的 媒体 的 定义 


(3) address translation 组 

address translation 组 由 一 个 表 构 成 , 表 中 的 每 一 行 对 应 系统 中 的 一 个 物理 接口 , 提 
供 网 络 地 址 向 物理 地 址 的 映射 。 一 般 情况 下 ,网 络 地 址 是 指 系统 在 该 接口 上 的 IP 地 址 ， 
而 物理 地 址 决定 于 实际 采用 的 子 网 情况 。 例 如 ,如 果 接 口 对 应 的 是 LAN, 则 物理 地 址 是 
接口 的 MAC 地 址 ,如 果 对 应 X. 25 分 组 交换 网 , 则 物理 地 址 可 能 是 一 个 X. 121 地 址 。 
表 4-8 列 出 了 该 组 中 各 个 对 象 的 名 称 、 名 法、 访问 权限 和 对 象 描述 。 


表 4-8 address translation 组 中 的 对 象 


Object Syntax Access Description 
atTable SEQUENCE OF AtEntry NA 包含 网 络 地 址 对 物理 地 址 的 映射 
atEntry SEQUENCE NA 包含 一 个 网 络 地 址 、 物 理 地 址 对 
atIfIndex INTEGER RW 表格 条 目的 索引 
atPhysAddress PhysAddress RW 依赖 媒体 的 物理 地 址 
atNetAddress NetworkAddress RW 对 应 物理 地 址 的 网 络 地 址 


实际 上 ,address translation 组 包含 在 MIB-2 中 只 是 为 了 与 MIB-1 兼容 , MIB-2 的 地 
址 转换 信息 在 各 个 网 络 协议 组 中 提供 。 

(4) ip 组 

ip 组 包含 有 关节 点 上 IP 实现 和 操作 的 信息 ,如 有 关 IP 层 流量 的 一 些 计数 器 。ip 组 
中 包含 三 个 表 ,ipAddrTable .ipRouteTable 和 ipNetToMediaTable。 

ipAddrTable 包含 分 配给 该 实体 的 IP 地 址 的 信息 ,每 个 地 址 被 唯一 地 分 配给 一 个 物 
理 地 址 。 

ipRouteTable 包含 用 于 互联 网 路 由 选择 的 信息 。 该 路 由 表 中 的 信息 是 从 一 些 协议 
的 路 由 表 中 抽取 而 来 的 。 实 体 当 前 所 知 的 每 条 路 由 都 有 一 个 条 目 . 表 格 由 ipRouteDest 
索引 。ipRouteTable 中 的 信息 可 用 于 配置 的 监测 .并且 由 于 表 中 的 对 象 是 read-write 的 ， 
因此 也 可 被 用 于 路 由 控制 。 

ipNetToMediaTable 是 一 个 提供 IP 地 址 和 物理 地 址 之 间 对 应 关系 的 地 址 转换 表 。 
除了 增加 一 个 指示 映射 类 型 的 对 象 ipNetToMediaType 之 外 . 表 中 所 包含 的 信息 与 
address translation 组 相同 。 

此 外 :ip 组 中 还 包含 一 些 用 于 性 能 和 故障 监测 的 标量 对 象 。 
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2 表 4-9 列 出 了 该 组 中 各 个 对 象 的 名 称 、 句 法 .访问 权限 和 对 象 描述 。 
表 4-9 记 组 中 的 对 象 
Object Syntax Access Description 
ipForwarding INTEGER RW | 是 否 作为 IP 网 关 (1/0) 
ipDefaultTTL INTEGER RW 2 '. eo 提要 的 国生 Time Te 
ipInReceives Counter RO | 接口 收 到 的 输入 数据 报 的 总 数 
ipInHdrErrors Counter RO | 由 于 IP 头 错 被 丢弃 的 输入 数据 报 总 数 
ipInAddrErrors Counter RO | 由 于 IP 地 址 错 被 丢弃 的 输入 数据 报 总 数 
ipForwDatagrams | Counter RO | 转发 的 输入 数据 报 数 
ipInUnknownProtos | Counter RO | 由 于 协议 未 知 而 被 丢弃 的 输入 数据 报 数 
ipInDiscards Counter RO | 无 适当 理由 而 被 丢弃 的 输入 数据 报 数 
ipInDelivers Counter RO | 成 功 地 递交 给 IP 用 户 协 议 的 输入 数据 报 数 
ipOutRequests Counter RO | 本 地 IP 用 户 协议 要 求 传 输 的 IP 数据 报 总 数 
ipOutNoRoutes Counter RO | 由 于 未 找到 路 由 而 被 丢弃 的 IP 数据 报 数 
ipReasmTimeOut INTEGER RO | 重组 接收 到 的 碎片 可 等 待 的 最 大 秒 数 
ipReasmReqds Counter RO | 接收 到 的 需要 重组 的 IP 碎片 数 
ipReasmOKs Counter RO | 成 功 重组 的 IP 数据 报 数 
ipRaesmFails Counter RO | 由 全 重组 算法 检测 到 的 重组 失败 的 数目 
ipFragsOk Counter RO | 成 功 拆 分 的 IP 数据 报 数 
ipFragsFails Counter RO | 不 能 成 功 拆 分 而 被 丢弃 的 IP 数据 报 数 
ipFragsCreates Counter RO ”| 本 实体 产生 的 IP 数据 报 碎片 数 
ipAddrTable A NA | 本 实体 的 IP 地 址 信息 ( 表 内 对 象 略 ) 
ipRouteTable Do pa NA | 人 P 路 由 表 ( 表 内 对 象 略 ) 
ipNetToMediaTable i ales NA Rd 院 乔 列 知 浊 地 卡 的 籽 让 秀和 农 ( 玲 
IpRouting Discards | Counter RO “| 被 丢弃 的 路 由 选择 条 目 
(5) icmp 组 


ICMP(Internet Control Message Protocol) 是 TCP/IP 协议 簇 中 的 一 部 分 ,所 有 实现 
IP 的 系统 都 提供 ICMP。ICMP 提供 从 路 由 器 或 其 他 主机 向 主机 传递 消息 的 手段 , 它 的 
基本 作用 是 反馈 通信 环境 中 存在 的 问题 .例如 : 数据 报 不 能 到 达 目 的 地 ,路 由 器 没有 缓冲 
区 容量 来 转发 数据 报 。 

icmp 组 包含 有 关 一 个 节点 的 ICMP 实现 和 操作 的 信息 ,具体 地 讲 ,icmp 组 由 节点 接 
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收 和 发 送 的 各 种 ICMP 消息 的 计数 器 构成 。 表 4-10 列 出 了 该 组 中 各 个 对 象 的 名 称 、 句 ”93 


法 ,访问 权限 和 对 象 描述 。 
表 4-10 icmp 组 中 的 对 象 

Object Syntax Access Description 
icmpInMsgs Counter RO 收 到 的 ICMP 消息 的 总 数 
icmpInErrors Counter RO 收 到 的 有 错 的 ICMP 的 消息 数 
icmpInDestUnreachs Counter RO 收 到 的 目的 地 不 可 到 达 的 消息 数 
icmpInTimeExcds Counter RO 收 到 的 超时 的 消息 数 
icmpInParmProbs Counter RO 收 到 的 有 参数 问题 的 消息 数 
icmpInSrcQuenchs Counter RO 收 到 的 源 有 问题 的 消息 数 
icmpInRedirects Counter RO 收 到 的 重 定 向 的 消息 数 
icmpInEchos Counter RO 收 到 的 要 求 echo 的 消息 数 
icmpInEchoReps Counter RO 收 到 的 应 答 echo 的 消息 数 
icmpInTimestamps Counter RO 收 到 的 要 求 Timestamp 的 消息 数 
icmpInTimestampReps Counter RO 收 到 的 应 答 Timestamp 的 消息 数 
icempInAddrMasks Counter RO 收 到 的 要 求 Address Mask 的 消息 数 
icmpInAddrMaskReps Counter RO 收 到 的 应 答 Address Mask 的 消息 数 
icmpOutMsgs Counter RO 发 出 的 ICMP 消息 的 总 数 
icmpOutErrors Counter RO 发 出 的 有 错 的 ICMP 的 消息 数 
icmpOutDestUnreachs Counter RO 发 出 的 目的 地 不 可 到 达 的 消息 数 
icmpOutTimeExcds Counter RO 发 出 的 超时 的 消息 数 
icmpOutParmProbs Counter RO 发 出 的 有 参数 问题 的 消息 数 
icmpOutSrcQuenchs Counter RO 发 出 的 源 有 问题 的 消息 数 
icmpOutRedirects Counter RO 发 出 的 重 定向 的 消息 数 
icmpOutEchos Counter RO 发 出 的 要 求 echo 的 消息 数 
icmpOutEchoReps Counter RO 发 出 的 应 答 echo 的 消息 数 
icmpOutTimestamps Counter RO 发 出 的 要 求 Timestamp 的 消息 数 
icmpOutTimestampReps Counter RO 发 出 的 应 答 Timestamp 的 消息 数 
icmpOutAddrMasks Counter RO 发 出 的 要 求 Address Mask 的 消息 数 
icmpOutAddrMaskReps Counter RO 发 出 的 应 答 Address Mask 的 消息 数 

(6) tcp 组 


tcp 组 包含 有 关 一 个 节点 的 TCP 实现 和 操作 的 信息 , 表 4-11 列 出 了 该 组 中 各 个 对 象 


的 名 称 、 句 法 、 访 问 权 限 和 对 象 描述 。 
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表 4-11 tcp 组 中 的 对 象 
Object Syntax Access Description 
tcpRtoAlgorithm INTEGER RO 重 传 时 间 
tcpRtoMin INTEGER RO 重 传 时 间 的 最 小 值 
tcpRtoMax INTEGER RO 重 传 时 间 的 最 大 值 
tcpMaxConn INTEGER RO 实体 支持 的 TCP 连接 数 的 上 限 
tcpActiveOpens Counter RO 实体 已 经 支持 的 主动 打开 的 数量 
tcpPassiveOpens Counter RO 实体 已 经 支持 的 被 动 打开 的 数量 
tcpAttemptFails Counter RO 已 经 发 生 的 试 连 失败 的 次 数 
tcpEstabResets Counter RO 已 经 发 生 的 复位 的 次 数 
tcpCurrEstab Gauge RO 当前 状态 为 established 的 TCP 连接 数 
tcpInSegs Counter RO 收 到 的 segments 总 数 
tcpOutSegs Counter RO 发 出 的 segments 总 数 
tcpRetranSegs Counter RO 重 传 的 segments 总 数 
tcpConnTable 人 NA 包含 TCP 各 个 连接 的 信息 
tcpInErrors Counter RO 收 到 的 有 错 的 segments 的 总 数 
tcpOutRsts Counter RO 发 出 的 含有 RST 标识 的 segments 数 
(7) udp 组 


udp 组 包含 有 关 一 个 节点 的 UDP 实现 和 操作 的 信息 。 除 了 有 关 发 送 和 接收 的 数据 
报 的 信息 之 外 ,这 个 组 中 还 包含 一 个 udpTable 表 , 该 表 中 包含 UDP 端点 的 管理 信息 。 
所 谓 UDP 端点 是 指正 在 支持 本 地 应 用 接收 数据 报 的 UDP 进程 。udpTable 表 中 包含 每 
个 UDP 端点 用 户 的 IP 地址 和 UDP 端口 。 表 4-12 列 出 了 该 组 中 各 个 对 象 的 名 称 、 句 法 、 
访问 权限 和 对 象 描述 。 


表 4-12 udp 组 中 的 对 象 


Object Syntax Access Description 
udpInDatagrams | Counter RO | 递交 该 UDP 用 户 的 数据 报 的 总 数 
udpNoPorts Counter RO | 收 到 的 目的 端口 上 没有 应 用 的 数据 报 总 数 
udpInErrors Counter RO | 收 到 的 无 法 递交 的 数据 报 数 
udpOutDatagrams | Counter RO “| 该 实体 发 出 的 UDP 数据 报 总 数 
udpTable SEQUENCE OF udpEntry NA 包含 UDP 的 用 户 信 息 
udpTable SEQUENCE NA | 某 个 当前 UDP 用 户 的 信息 
udpLocalAddress | ipAddress RO UDP 用 户 的 本 地 IP 地 址 
udpLocalPort INTEGER RO UDP 用 户 的 本 地 端口 号 
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(8) egp 组 

egp 组 包含 有 关 一 个 节点 的 EGP(External Gateway Protocol) 实 现 和 操作 的 信息 。 
除了 有 关 发 送 和 接收 的 EGP 消息 的 信息 之 外 ,这 个 组 中 还 包含 一 个 egpNeighTable 表 ， 
该 表 中 包含 有 关 相 邻 网 关 的 信息 。 表 4-13 列 出 了 该 组 中 各 个 对 象 的 名 称 、 名 法、 访问 权 
限 和 对 象 描述 。 


表 4-13 ”egp 组 中 的 对 象 


Object Syntax Access Description 
egpInMsgs Counter RO | 收 到 的 无 错 的 EGP 消息 数 
egpInErrors Counter RO | 收 到 的 有 错 的 EGP 消息 数 
egpOutMsgs | Counter RO | 本 地 产生 的 EGP 消息 总 数 
egpOutErrors Counter RO ed 的 本 地 产生 的 
egpNeighTable | SEQUENCE OF EgpNeighEntry | NA | 相 邻 网 关 的 EGP 表 ( 表 内 的 对 象 略 ) 
egpAs INTEGER RO | 本 EGP 实体 的 自治 系统 数 


4.3 SNMP 通信 模型 


简单 网 络 管理 协议 (SNMP) 最 初 是 由 Internet 工程 任务 组 织 (IETF) 的 研究 小 组 为 
了 解决 Internet 上 的 路 由 器 管理 问题 而 提出 的 。SNMP 被 设计 成 与 协议 无 关 , 可 以 在 
IP、IPX、AppleTalk、OSI 以 及 其 他 用 到 的 传输 协议 上 使 用 。SNMP 包括 一 系列 协议 组 和 
规范 ,它们 提供 了 一 种 从 网 络 上 的 设备 中 收集 网 络 管理 信息 的 方法 ,同时 它 也 为 设备 向 网 
络 管理 站 报告 问题 提供 了 一 种 手段 。 

SNMP 的 结构 分 为 SNMP 管理 者 和 SNMP 代理 两 部 分 。 管 理 者 从 代理 中 收集 数据 
有 两 种 方法 : 一 种 是 只 轮 询 的 方法 ; 另 一 种 是 基于 中 断 的 方法 。 

只 轮 询 的 方法 ,是 由 管理 者 每 间隔 一 段 时 间 , 向 各 个 代理 依次 发 送 询 问 信息 ,然后 由 代 
理 返回 查询 结果 ,这 种 方法 可 以 使 代理 总 是 在 管理 者 的 控制 之 下 。 但 这 种 方法 的 缺陷 在 于 
信息 的 实时 性 比较 差 。 因 为 如 果 轮 询 间隔 太 小 ,那么 将 产生 太 多 不 必要 的 通信 量 。 如 果 轮 
询 间隔 太 大 ,并 且 在 轮 询 时 顺序 不 对 ,那么 对 于 一 些 大 的 灾难 性 事件 的 通知 就 会 太 慢 。 

基于 中 断 的 方法 是 当 有 蜡 常 事件 发 生 时 .由 代理 主动 向 管理 者 发 送信 息 ,使 管理 者 可 
以 及 时 地 了 解 网 络 设备 的 状态 。 但 是 这 种 方法 也 有 一 定 的 缺陷 , 当 异 常事 件 发 生 且 要 传 
送 的 信息 量 较 大 时 ,这 种 方法 需要 消耗 大 量 的 系统 资源 ,从 而 影响 了 代理 执行 的 主要 功 
能 ,另外 当 多 个 代理 同时 发 生 中 断 时 ,网 络 将 变 得 非常 拥挤 。 

基于 上 述 两 种 方法 的 优点 和 缺点 ,SNMP 把 它们 结合 使 用 .形成 了 面向 自 陷 的 轮 询 
方法 , 它 是 执行 网 络 管理 最 为 有 效 的 方法 。 一 般 情 况 下 ,管理 者 通过 轮 询 代理 进行 信息 收 
集 ,在 控制 台 上 用 数字 或 图 形 来 显示 这 些 信息 ,提供 对 网 络 设备 工作 状态 和 网 络 通信 量 的 
分 析 和 管理 功能 。 当 代理 设备 处 于 异常 状态 时 ,代理 通过 SNMP 自 陷 立即 向 网 络 管理 者 
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96 发 送 通 知 。SNMP 定义 了 get、get-next 和 set 三 种 基于 轮 询 的 操作 ,并 且 还 定义 了 基于 
中 断 的 trap 操作 。 


4.3.1 SNMP 数据 单元 


SNMP 的 工作 原理 非常 简单 ,在 管理 者 和 代理 之 间 实时 传递 信息 ,这 些 信息 被 称 为 
协议 数据 单元 (PDU) ,在 SNMP 中 一 共 定 义 了 4 类 协议 数据 单元 ,如 图 4-5 所 示 为 这 


4 种 操作 的 示意 图 。 
SNMP 管 理 者 Bde SNMP 代 理 
UDP 端 口 161 
get-response 
get-next-request 
UDP 端口 161 
get-next-response 
set-request 
UDP 端口 161 
set-response 
UDP 端口 162 
trap 


4-5 SNMP 4 种 报 文 的 操作 示意 图 


SNMP 被 封装 在 UDP 中 ,前 三 种 操作 使 用 UDP 的 161 端口 ,由 代理 发 出 的 trap 操 
作 使 用 UDP 的 162 端口 。 如 图 4-6 所 示 为 SNMP 4 种 操作 的 报 文 格式 。 


IP 数 据 报 


一 | 


UDP 数据 报 
SNMP 报 文 


一 一 | 


IP 首 部 | UDP 首部 | SNMP 版 本 | 共同 体 | 协议 数据 报 单元 (PDU) 


一 


PDU 类 型 | 请 求 标识 | 差错 状态 | 差错 
(0 二 | 请 求 标识 | 差 名 次 态 | 差错 索引 | 对 象 名 | 对 象 值 


get/set 首 部 变量 绑 定 


一 一 一 一 | 


PDU 类 型 代理 的 | ，trap 。 | 特定 | 
2 | 企业 | 你 地 起 | eo 物 逢 | 时 间 融 | 对 象 名 对 象 人 


trap 首 部 网 变量 绑 定 


图 4-6 SNMP 报 文 格式 


1. SNMP 版 本 与 共同 体 

SNMP 的 报 文 一 般 包括 三 个 部 分 : SNMP 版 本 、 共 同体 和 协议 数据 单元 (PDU)。 

SNMP 版 本 用 于 标识 管理 者 和 代理 使 用 的 是 哪个 版 本 的 SNMP, 到 现在 为 止 可 以 使 
用 的 SNMP 版 本 共有 三 个 ,分 别 是 : SNMP v1、SNMP v2 和 SNMP v3。 在 这 项 中 存放 的 
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版 本 值 比 实际 应 用 的 版 本 号 小 1, 如 管理 者 或 代理 使 用 的 是 SNMP v1, 则 这 项 中 的 值 “97 
是 0; 

共同 体 是 一 个 字符 串 ,作为 管理 者 与 代理 之 间 的 明文 口令 ,常用 的 是 6 个 字符 , 值 是 
public, 当然 也 可 以 由 管理 员 设 置 。 协 议 数据 单元 (PDU) 是 SNMP 报 文 的 主要 内 容 , 它 有 
两 种 报 文 类 型 : get/set 报 文 和 trap 报 文 。 

2. get/set 报 文 

get/set 报 文 基于 轮 询 的 操作 ,由 管理 者 首先 向 代理 发 出 查询 或 设置 命令 ,然后 由 代 
理 返回 操作 结果 。get/set 主要 包括 PDU 类 型 .请求 标识 、 差 错 状态 、 差 错 索 引 和 变量 绑 
定 等 几 部 分 。 

PDU 类 型 用 来 表示 SNMP 报 文 的 功能 ,共有 5 个 值 可 以 使 用 ,如 表 4-14 所 示 。PDU 
类 型 项 中 的 值 是 一 个 特殊 类 型 (上 下 文 相 关 的 构造 类 型 ) 的 值 ,只 用 一 个 字 节 来 表示 。 


表 4-14 PDU 类 型 


PDU 类 型 名 称 二 进 制 值 十 六 进 制 值 
0 get-request 10100000 Oxa0 
外 get-next-request 10100001 Oxal 
2 get-response 10100010 Oxa2 
3 set-request 10100011 Oxa3 
4 Trap 10100100 Oxa4 


请 求 标识 是 由 管理 进程 设置 的 一 个 整数 值 。 每 一 个 进程 都 有 一 个 相应 的 标识 ,使 管 
理 进程 能 够 识别 返回 的 响应 报 文 对 应 于 哪 一 个 请 求 报 文 ,同一 请 求 报 文 和 响应 报 文 使 用 
同一 个 标识 。 

差错 状态 是 由 代理 设置 的 一 个 值 ,用 于 标识 返回 的 报 文 是 否 有 错 , 以 及 出 现 了 什么 样 
的 错误 。 差 错 状态 有 6 个 值 可 以 使 用 ,如 表 4-15 所 示 。 


表 4-15 差错 状态 
差错 状态 名 称 描 述 
0 noError 没有 错误 
1 tooBig 代理 进程 无 法 把 响应 放 在 一 个 SNMP 消息 中 发 送 
2 noSuchName 操作 一 个 不 存在 的 变量 
badValue set 操作 的 值 或 语义 有 错误 
4 readOnly 管理 进程 试图 修改 一 个 只 读 变 量 
5 genError 其 他 错误 


差错 索引 也 是 一 个 由 代理 设置 的 值 , 它 指明 当 有 差错 发 生 时 ,是 在 哪个 变量 发 生 的 
〈 即 变量 列表 中 的 偏 移 ) 。 注 意 并 不 是 所 有 差错 都 有 差错 索引 ,只 有 发 生 差错 2.3 和 4 时 
才 会 有 差错 索引 。 
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98 变量 绑 定 是 由 一 个 或 多 个 对 象 名 和 对 象 值 对 组 成 的 。 在 get-request 和 get-next- 
request 操作 时 ,对 象 名 由 管理 者 设置 ,并 把 对 象 值 设置 为 空 (NULL) 类 型 ,代理 收 到 后 就 
根据 对 象 名 查询 对 应 的 对 象 值 ,如 果 找 到 ,就 把 对 象 名 和 对 象 值 返 回 给 管理 者 。 如 果 是 
set-request 操作 , 则 对 象 名 和 对 象 值 均 由 管理 者 设置 ,代理 收 到 后 只 把 对 应 的 对 象 名 的 值 
改 为 管理 者 设置 的 对 象 值 。 变 量 绑 定 中 可 以 出 现 多 个 对 象 名 和 对 象 值 对 , 即 一 个 SNMP 
报 文 可 以 查询 (get 操作 ) 或 设置 (set 操作 ) 多 个 对 象 。 

3. trap 报 文 

trap 报 文 是 基于 中 断 的 操作 ,当代 理 设备 发 生 异 常 时 ,代理 即 向 管理 者 发 送 这 个 报 
文 。trap 报 文 主要 包括 PDU 类 型 ,企业 代理 的 IP 地 址 、trap 类 型 .特定 代码 、 时 间 惟 和 
变量 绑 定 等 几 部 分 。 

PDU 类 型 在 trap 报 文中 固定 为 4。 

企业 项 是 trap 报 文 的 网 络 设备 的 对 象 标识 符 。 此 对 象 标识 符 在 MIB 树 上 的 
enterprise 节点 {1. 3. 6. 1. 4.1} 下 面 的 一 棵 子 树 上 。 

代理 的 IP 地 址 项 表明 代理 设备 的 IP 地 址 是 何 值 。 

trap 类 型 表明 trap 报 文 的 类 型 ,共有 7 种 选项 ,如 表 4-16 所 示 。 


表 4-16 trap 类 型 
trap 类 型 名 称 说 明 
0 coldStart 代理 进行 了 初始 化 
1 warmStart 代理 进行 了 重新 初始 化 
2 linkDown 一 个 接口 从 工作 状态 变 为 故障 状态 
3 Linkup 一 个 接口 从 故障 状态 变 为 工作 状态 
4 authenticationFailure 从 SNMP 管理 进程 接收 到 具有 一 个 无 效 共同 体 的 报 文 
5 egpNeighborLoss 一 个 EGP 相 邻 路 由 器 变 为 故障 状态 
6 enterprisespecific 在 这 个 特定 的 代码 字段 中 查找 trap 信息 


注意 : 当 使 用 trap 类 型 2.3、5 时 ,在 报 文 后 面 的 变量 部 分 的 第 一 个 变量 对 应 标识 响 
应 的 接口 。 

特定 代码 项 当 trap 类 型 为 6 时 指明 代理 自 定义 的 事件 ,否则 为 0。 

时 间 惟 项 指明 自 代 理 进 程 初始 化 到 trap 报告 的 事件 发 生 所 经 历 的 时 间 , 单 位 
为 10ms。 

变量 绑 定 的 内 容 与 get/set 报 文 中 的 变量 绑 定 相同 。 


4.3.2 SNMP 的 安全 机 制 


在 网 络 管理 系统 的 代理 设备 上 存放 着 大 量 的 管理 信息 库 , 它 们 的 安全 直接 影响 到 整 
个 网 络 系统 的 安全 。 为 了 保证 代理 能 够 保护 其 自身 以 及 MIB, 使 MIB 能 够 拒绝 非法 访 
问 ,需要 设置 一 些 安全 机 制 。 

在 SNMP 中 ,代理 不 但 要 控制 自己 本 地 的 MIB, 而 且 必 须 控 制 多 个 管理 者 对 该 MIB 
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的 使 用 。 这 种 控制 包含 三 个 方面 。 
。 认证 服务 : 代理 可 以 把 对 MIB 的 访问 权限 限制 为 已 被 授权 的 管理 者 。 
。 访问 策略 : 代理 可 以 给 不 同 的 管理 者 不 同 的 访问 特权 。 
。 转换 代理 服务 : 一 个 代理 可 以 作为 其 他 被 管理 站 的 转换 代理 。 这 可 能 包括 在 转 
换代 理 系 统 中 ,为 其 他 的 被 管理 系统 实现 认证 服务 或 访问 策略 。 

1. SNMP vl 的 安全 机 制 

SNMP vl 是 SNMP 的 第 一 个 版 本 ,其 安全 性 上 的 设计 非常 简单 ,仅仅 提供 了 有 限 的 
安全 机 制 , 即 共同 体 的 概念 。 

共同 体 的 概念 在 4. 3. 1 小 节 中 已 经 提 到 过 , 它 是 一 个 明文 的 字符 串 ,每 一 个 SNMP 
共同 体 都 是 一 个 在 SNMP 代理 和 多 个 SNMP 管理 者 之 间 定 义 的 认证 ,访问 控制 和 转换 
代理 的 关系 。 管 理 者 发 送 的 每 一 个 报 文中 ,都 必须 填写 好 对 应 的 共同 体 项 ,当代 理 收 到 这 
些 报 文 , 它 就 比 对 共同 体 的 内 容 , 如 果 正 确 则 被 允许 访问 对 应 的 对 象 , 反 之 则 被 拒绝 。 共 
同体 在 这 里 起 到 密码 的 作用 ,SNMP vl 假设 ,如 果 发 送 者 知道 这 个 密码 ,就 认为 该 信息 通 
过 了 认证 ,是 可 靠 的 。 

共同 体 不 但 有 认证 功能 ,还 有 设置 访问 权限 的 功能 。 一 条 已 通过 认证 的 信息 对 MIB 
有 何 访问 权限 也 是 通过 共同 体 来 实现 的 。 代 理 为 每 一 个 共同 体 定 义 了 一 个 SNMP vl 共 
同体 框架 文件 ,该 框架 文件 包括 两 部 分 。 

。 MIB 视图 : MIB 中 的 对 象 的 一 个 子 集 ,对 不 同 的 共同 体 可 以 定义 不 同 的 视图 , 属 
于 同一 视图 的 对 象 可 以 不 必 同 属于 一 个 MIB 子 树 。 
。 访问 模式 : 共同 体 可 以 定义 一 种 访问 模式 。 

2. SNMP v2 的 安全 机 制 

由 于 SNMP vl 的 安全 机 制 过 于 简单 ,因此 SNMP v2 加 强 了 安全 的 考虑 。SNMP 具 
有 支持 分 布 式 网 络 管理 .扩展 数据 类 型 .可 以 实现 大 量 数 据 的 同时 传输 、 丰 富 的 故障 处 理 
能 力 ,增加 集合 处 理 功 能 、 加 强 数 据 定义 语言 等 特点 。 

此 外 , SNMP v2 还 引入 了 上 下 文 的 概念 。 上 下 文 是 一 个 可 被 SNMP v2 实体 访问 的 
被 管理 对 象 资源 的 集合 ,分 为 本 地 上 下 文 和 远程 上 下 文 ,其 中 本 地 上 下 文 被 标识 为 一 个 
MIB 视图 ,远程 上 下 文 被 标识 为 一 个 转换 代理 关系 。 

使 用 了 上 下 文 的 访问 控制 策略 由 以 下 4 个 元 素 组 成 。 

。 目标 : SNMP 参加 者 , 它 按 主 体 方 的 请 求 执行 管理 操作 。 

。 主体 : SNMP 参加 者 , 它 请 求 目 标 方 执 行 管理 操作 。 

。 资源 : 管理 操作 在 其 上 执行 的 管理 信息 , 它 可 表示 为 一 个 本 地 MIB 视 域 或 一 个 代 
理 关系 ,这 一 项 被 称 为 一 个 上 下 文 。 

。 权限: 对 于 一 个 特定 的 上 下 文 可 允许 的 操作 ,这 些 操 作用 可 允许 的 协议 数据 单元 
定义 ,由 目标 代表 主体 执行 。 

但 是 ,SNMP v2 并 没有 完全 实现 预期 的 目标 ,尤其 是 安全 性 能 没有 得 到 提高 ,如 身份 
验证 加密、 授权 和 访问 控制 .适当 的 远程 安全 配置 和 管理 能 力 等 都 没有 实现 。1996 年 发 
布 的 SNMP v2C 是 SNMP v2 的 修改 版 本 ,然而 就 在 新 的 文件 刚刚 发 布 时 就 有 人 发 现 其 
安全 方面 存在 重要 缺陷 ,而 且 随 后 的 改进 安全 设施 工作 又 迟 迟 没有 进展 ,最 后 决定 丢掉 安 
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100 ”全 功能 ,把 增加 的 其 他 功能 作为 新 标准 颁布 ,并 保留 了 SNMP vl 的 报 文 封装 格式 和 继续 

使 用 SNMP vl 的 基于 明文 密 钥 的 身份 验证 方式 。 

3. SNMP v3 的 安全 机 制 

1998 年 1 月 IETF 提出 了 互联 网 建议 RFC2271 一 2275 ,正式 形成 了 SNMP v3。 这 一 
系列 文件 定义 了 包含 SNMP vl 和 SNMP v2 所 有 功能 在 内 的 体系 框架 以 及 包含 验证 服 
务 和 加 密 服务 在 内 的 全 新 的 安全 机 制 ,同时 还 规定 了 一 套 专门 的 网 络 安全 和 访问 控制 规 
则 。RFC 2271 定义 的 SNMP v3 体系 结构 体现 了 模块 化 的 设计 思想 ,可 以 简单 地 实现 功 
能 的 增加 和 修改 ,其 特点 主要 有 : 

。 安全 性 好 ,具有 多 种 安全 处 理 模 块 。 

。 适应 性 强 , 适 用 于 多 种 操作 环境 . 既 可 以 管理 最 简单 的 网 络 , 实 现 基本 的 管理 功 

能 ,又 能 够 提供 强大 的 网 络 管理 功能 ,满足 复杂 网 络 的 管理 需求 。 

。 扩 充 性 好 ,可 以 根据 需要 增加 模块 。 

SNMP v3 主要 有 三 个 模块 : 信息 处 理 和 控制 模块 、 本 地 处 理 模 块 和 用 户 安全 模块 。 

(1) 信息 处 理 和 控制 模块 

其 在 RFC2272 中 定义 ,负责 信息 的 产生 和 分 析 , 并 判断 信息 在 传输 过 程 中 是 否 要 经 
过 代理 服务 器 等 。 

(2) 本 地 处 理 模 块 

它 的 主要 功能 是 进行 访问 控制 ,处 理 打 包 的 数据 和 中 断 。 访 问 控制 是 指 通过 设置 代 
理 的 有 关 信 息 使 不 同 管理 者 的 管理 进程 在 访问 代理 时 具有 不 同 的 权限 ,在 协议 数据 单元 
一 级 完成 。 访 问 控制 的 策略 必须 预先 设 定 。SNMP v3 通过 使 用 带 有 不 同 参 数 的 原 语 来 
灵活 确定 访问 控制 方式 。 

(3) 用 户 安 全 模块 

SNMP v3 与 其 前 两 个 版 本 相 比 ,增加 了 三 个 新 的 安全 机 制 : 身份 验证 ,加 密 和 访问 
控制 。 其 中 ,访问 控制 功能 由 本 地 处 理 模 块 完成 ,而 身份 验证 和 数据 保密 服务 则 由 用 户 安 
全 模块 提供 。 身 份 验证 是 指 代理 或 管理 者 接 到 信息 时 必须 首先 确认 信息 是 否 来 自 授权 的 
管理 者 或 代理 ,以 及 信息 在 传输 过 程 中 是 否 改变 。 

这 个 功能 的 实现 要 求 管理 者 和 代理 必须 共享 同一 密 钥 。 管 理 者 使 用 密 钥 计算 验证 
码 , 然 后 将 其 加 入 信息 中 ,而 代理 则 使 用 同一 密 钥 从 接收 的 信息 中 提取 出 验证 码 , 从 而 得 
到 信息 。 加 密 的 过 程 与 身份 验证 类 似 , 也 需要 管理 者 和 代理 共享 同一 密 钥 来 实现 信息 的 
加 密 和 解密 。SNMP v3 使 用 私 钥 和 验证 密 钥 来 实现 身份 验证 和 加 密 功 能 。 


4.3.3 SNMP 的 操作 


SNMP 共有 4 种 操作 ,分 别 是 get-request、get-next-request、set-request 和 trap, 这 些 操作 
可 以 实现 查询 或 设置 简单 对 象 .查询 未 知 对 象 .查询 或 设置 表 对 象 和 陷 人 操作 等 功能 。 

1. 查询 或 设置 简单 对 象 

查询 简单 的 对 象 值 可 以 用 get-request 操作 ,代理 响应 的 是 get-response 报 文 。 如 果 
变量 绑 定 项 中 含有 多 个 对 象 名 , 则 一 次 还 可 以 查询 多 个 对 象 的 值 。 接 收 get-request 的 
SNMP 实体 以 请 求 标 识 相 同 的 get-request 响应 。 特 别 要 注意 的 是 get-request 操作 的 原 
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子 性 , 即 如 果 所 有 请 求 的 对 象 值 都 可 以 得 到 . 则 给 予 应 答 ; 反 之 ,只 要 有 一 个 对 象 的 值得 不 
到 ,就 可 能 返回 下 列 错误 条 件 之 一 : 

。 变量 绑 定 项 中 的 一 个 对 象 无 法 与 MIB 中 的 任何 对 象 名 匹配 ,或 者 要 检索 的 对 象 
是 一 个 复杂 类 型 (如 子 树 或 表 等 ) ,其 没有 对 象 实例 生成 ,那么 在 这 些 情况 下 ,代理 
返回 的 PDU( 即 get-response) 中 差错 状态 字段 置 为 noSuchName, 错 误 索 引 字 段 
设置 为 出 错 的 对 象 名 在 变量 绑 定 中 的 偏 移 量 ,变量 绑 定 项 中 不 返回 任何 值 。 
代理 设备 中 的 响应 实体 可 以 提供 所 有 要 检索 的 值 ,但 是 所 请 求 的 变量 太 多 ,一 个 
响应 PDU 装 不 下 ,这 往往 是 由 下 层 协 议 数据 单元 大 小 限制 的 。 这 时 响应 实体 返 
回 一 个 应 答 PDU ,其 差错 状态 字段 置 为 tooBig。 
由 于 其 他 原因 (例如 代理 不 支持 等 ) ,代理 中 的 响应 实体 至 少 不 能 提供 一 个 对 象 的 
值 , 则 返回 的 PDU 中 差错 状态 字段 置 为 genError, 错 误 索 引 字段 设置 为 出 错 的 
对 象 名 在 变量 绑 定 中 的 偏 移 量 , 变 量 绑 定 项 中 不 返回 任何 值 。 

设置 简单 的 对 象 值 可 以 用 set-request 操作 ,代理 用 于 响应 的 同样 也 是 get-response 
报 文 。set-request 操作 同样 可 以 一 次 含有 多 个 对 象 名 ,如 果 所 有 的 对 象 都 可 以 修改 , 则 修 
改 所 有 请 求 的 对 象 的 值 ; 如 果 至 少 有 一 个 对 象 不 能 修改 , 则 所 有 请 求 的 对 象 的 值 均 不 被 修 
改 , 并 在 差错 状态 字段 中 指明 出 错 原因 (如 对 象 是 只 读 的 ) 。 

2. 查询 未 知 对 象 

如 果 不 能 确定 对 象 的 名 称 , 则 可 以 用 get-next-request 操作 查询 指定 对 象 名 的 下 一 个 对 
象 实例 ,但 是 并 不 要 求 指定 的 对 象 名 必须 存在 ,或 者 是 子 树 的 对 象 标签 。get-next-request 还 
可 以 遍历 整个 MIB 树 。 

3. 查询 或 设置 表 对 象 

set-request 操作 用 于 修改 对 象 的 值 , 它 的 操作 与 对 简单 对 象 操 作 类 似 。get-next-request 
操作 可 以 查询 表 对 象 , 或 是 遍历 整个 MIB 树 。 


4. 陷入 操作 
陷入 是 由 代理 向 管理 者 发 出 的 异步 事件 警告 , 它 不 需要 应 答 报 文 。SNMP 规定 了 7 种 
陷入 条 件 。 

。 coldStart: 发 送 实 体重 新 初始 化 ,代理 的 配置 已 经 改变 。 这 种 情况 经 常 是 由 系统 
失效 引起 的 。 

。 warmStart: 发 送 实 体重 新 初始 化 ,但 代理 的 配置 没有 改变 。 这 种 情况 是 正常 的 
重启 动 过 程 。 

。 linkDown: 链 路 失效 通知 ,其 中 变量 绑 定 项 的 第 一 项 指明 对 应 接口 表 的 索引 对 象 
及 其 值 。 

。 linkUp: 链 路 启动 通知 ,其 中 变量 绑 定 项 的 第 一 项 指明 对 应 接口 表 的 索引 对 象 及 
其 值 。 


authenticationFailure: 发 送 实 体 收 到 一 个 没有 通过 认证 的 报 文 。 
egpNeighborLoss: 相 邻 的 外 部 路 由 器 失效 或 关机 。 

enterpriseSpecific: 由 设备 制造 商定 义 的 陷入 条 件 , 在 特殊 陷入 字段 项 中 指明 具 
体 的 陷入 类 型 。 
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103 4.3.4 SNMP 通信 示例 

前 几 节 介绍 了 SNMP 的 操作 功能 以 及 MIB-2 功能 组 的 组 成 ,下 面 通过 实例 来 看 一 看 
SNMP 报 文 的 组 成 以 及 它 是 如 何 传输 的 。 

1，MIicrosoft 网 络 监 视 器 

网 络 的 底层 就 是 数据 包 , 只 有 了 解 这 些 在 网 络 上 传输 的 数据 包 , 才 能 真正 认识 网 络 系 
统 。 现 在 有 很 多 网 络 数据 包 的 捕获 工具 ,如 SnifferPro、Ethereal 等 。 这 些 工 具 功 能 强大 、 
操作 方便 .界面 友好 ,是 网 络 管理 员 维护 网 络 必 不 可 少 的 工具 。 

虽然 这 些 工具 非常 好 用 ,但 是 有 些 工 具 需 要 花 钱 购 买 , 有 些 工 具 则 安装 非常 复杂 , 因 
此 本 书 并 没有 采用 这 些 工具 ,而 是 使 用 了 微软 公司 在 Windows Server 2000( 或 以 上 ) 和 
Windows Server 2003 版 本 上 自 带 的 Microsoft 网 络 监视 器 。Microsoft 网 络 监视 器 的 位 
置 在 “控制 面板 ?的 “管理 工具 ”中 ,打开 后 如 图 4-7 所 示 。 


eft 网 络 览 视 器 - [本 地 连接 捕获 官 口 了 


FE 捕获 () 工具 GD) 选项 @) 窗口 和 帮助 人 D =lslx| 


| 网 可 丙 视 器 5.2.3790 Ds 
4-7 ”Microsoft 网 络 监视 器 窗口 


如 果 是 第 一 次 使 用 , 则 在 刚 打 开 时 会 出 现 如 图 4-8 所 示 的 对 话 框 , 它 的 功能 是 让 用 户 
选择 想 要 监视 的 网 络 接口 ,这 里 选择 * 本 地 连接 ”。 如 果 在 使 用 过 程 中 ,需要 改变 被 监视 的 
网 络 接口 , 则 可 以 在 “Microsoft 网 络 监视 器 ”窗口 中 选择 “捕获 ”一 网络? 命令 ,也 可 以 打 
开 这 个 对 话 框 。 

划 
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4-8 选择 一 个 网 络 对话 框 


选择 好 网 络 接口 后 就 可 以 开始 监视 了 , 单 击 图 4-9 中 工具 栏 上 的 “开始 ”按钮 ,这 时 监 
视 器 就 会 监听 从 这 时 起 的 所 有 网 络 数据 包 ,如果 需要 查看 数据 包 的 详细 内 容 , 则 可 以 单 击 
“停止 并 查看 ”按钮 ,这 时 会 出 现 如 图 4-9 所 示 的 窗口 。 如 果 用 户 对 某 一 个 数据 包 感 兴趣 ， 
可 以 双击 打开 这 个 数据 包 , 以 便 更 详细 地 了 解 它 的 内 容 。 

Microsoft 网 络 监视 器 还 有 很 多 其 他 功能 ,由 于 篇 幅 有 限 , 这 里 就 不 一 一 介绍 了 ,读者 
如 果 有 兴趣 ,可 以 参看 相关 的 参考 资料 。 


mi creseft 同 络 故 视 器 - [ 革 获 : 1 (总 结 )] 医 =|DI 光 | 
天 文件 编 得 四 显示 四 ， 工 具 上 选项 @) 窗口 四， 帮助 0 =|@|x| 


ECE I EA 


et ee Et 0 ED 
Ic> 


YORKEGROUP Cc> 
a we WORKGROUP <c> 
Captured =6 
| 
| 同 了 面议 器 v5.2.3730 7 用 
图 4-9 捕获 窗口 
2. Getif 
Getif 是 一 款 免 费 使 用 的 简单 网 络 管理 工具 , 它 主要 通过 SNMP 访问 被 管理 的 设备 ， 
其 主 界面 如 图 4-10 所 示 。 
二 加 
了 discovery 1 1 Graph | 
Taraneters | Interfaces | Mdresses | Routing Table | pe = Gen Table | Reachability | Traceroute | NSLookup 
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Bi | mi 
图 4-10 Getif 主 界面 


首先 在 Host name 组 合 框 中 输入 要 访问 的 设备 的 IP 地 址 ,然后 在 SNMP Parameters 选 
项 组 的 Read 和 Write 文本 框 中 输入 共同 体 的 值 ( 默 认 是 public 和 private) ,最 后 单 击 Start 按 
钮 即 可 ,如 果 被 管理 设备 可 以 正常 访问 , 则 会 返回 相应 的 参数 ,如 图 4-9 中 所 示 ,如 果 被 管理 


设备 不 能 正常 访问 , 则 在 窗口 最 底下 的 状态 栏 中 显示 相应 的 错误 信息 。 


Getif 工具 有 很 丰富 的 功能 .包括 网 络 接口 查看 (Interface)、 地址 查看 (Address) .路 


由 表 查 看 (Routing Table)、Arp 地 址 查看 (Arp) \IP 地 址 发 现 (IP Discovery) 等 内 容 ， 


篇 幅 有 限 ,这 里 就 不 一 一 介绍 了 ,读者 如 果 有 兴趣 ,可 以 参看 相关 的 参考 资料 。 这 是 


由 于 
有 主要 


介绍 MBrowser 选项 卡 , 在 该 选项 卡 中 可 以 以 树 状 的 方式 查看 MIB, 如 图 4-11 所 示 。 
第 一 个 文本 框 中 显示 是 OID 标识 ,第 二 行 是 数字 OID 标识 ,中 间 的 左 侧 部 分 是 树 状 


结构 , 左 侧 部 分 是 这 个 对 象 的 一 些 参 数 和 说 明 , 再 下 面 是 这 个 对 象 的 值 显示 的 地 方 。 


当 用 


户 在 树 状 结构 中 选择 了 某 一 对 象 , 单 击 Start 按钮 后 ,相应 对 象 的 值 就 会 显示 在 这 里 。 
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二 
Paraneters | Interfaces | Mdresses | Routing Table | rp | Gen Table | Reachability | Traceroute | NsLooksp | 
了 discovery NBrowser a 
iso. org dod internet. memt 
1.3.6.1.2 


下 -iso 


Bs 
Bdod 
日 -internet 
directory 
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由 -mib-2 
ei 
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4-11 MBrowser 选项 卡 


下 面 演示 两 个 例子 。 

第 一 个 示例 查看 OID 为 . iso. org. dod. internet. mgmt. mib-2. system. sysDescr 的 对 
象 的 值 ,首先 在 树 状 结构 中 选择 这 个 对 象 , 单 击 Start 按钮 ,列表 框 中 就 会 出 现 如 图 4-12 
所 示 的 内 容 。 


二 
Paraneters | Interfaces | Addresses | Routing Table | Arp | Gen Table | Reachability | Traceroute | NsLookup 
Ip discovery NBrowser Graph 
so org dod. internet. ment mib-2. systen. syshescr 
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Bnib-2 可 Im eesr Ems [7] 
[Sines Access aaay Status asdatory 


日 systen 
textual description of the entity, This value | 


sysObjectID should include the foll nane, and version 
syslpTime identification of the systen’ s hardware type, 
CN software operating-systen, and networking 
line software. It is nandatory that this only contai 


sysLocation printsble ASCII characters. 


Eh 


‘ 到 
1.3.6.1.2.1.1.1 |s (Gstring) z|T 1 entry(s) Set sd to ran] Aaa to Gen 


4-12 查看 . iso. org. dod. internet. mgmt. mib-2. system. sysDescr 对 象 的 值 


第 二 个 示例 的 功能 是 想 要 查看 system 组 中 所 有 成 员 对 象 的 值 , 首 先 选择 对 象 
. iso. org. dod. internet. mgmt. mib-2. system, 单 击 Start 按钮 ,列表 框 就 会 出 现 如 图 4-13 
所 示 的 内 容 。 


医 cetif [10.22.1.97] [el E| 105 
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sysContact 
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sysLocation > 
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由 escce ee 
5 BT 


yn ardvarer reg Feily E HodeT 1T 
enterprises.31Y.1.3.1.2 
EE 


mn tie 
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me .0 ku YIRUS 


区 an EA 
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FT:0 1 76 


到 
1.3.6.1.2.1.1 FF ealou) zi T entryls) Set| to | Add to Gan 


图 4-13 查看 . iso. org. dod. internet. mgmt. mib-2. system 组 中 所 有 对 象 的 值 


3. 捕获 和 分 析 SNMP 数据 包 
有 了 Microsoft 网 络 监视 器 和 Getif ,捕获 和 分 析 SNMP 数据 包 就 非常 容易 了 。 首 先 


启动 Microsoft 网 络 监 视 器 并 开始 监听 ,然后 启动 Getif ,选择 相应 的 OID 对 象 , 并 单 击 
Start 按钮 , 接着 单 击 “Microsoft 网 络 监视 器 ”窗口 中 的 “停止 并 查看 ”按钮 ,打开 如 
图 4-14 所 示 的 捕获 窗口 ,再 双击 相应 的 数据 包 就 可 以 分 析 该 数据 包 了 。 

下 面 举 一 个 示例 。 假 设 要 查看 某 一 设备 的 OID 为 . iso. org. dod. internet. mgmt. 
mib-2. system. sysDescr 对 象 的 值 。 按 照 上 述 步骤 捕获 了 相应 的 数据 包 , 如 图 4-14 所 示 。 


icrosoft_ 网 络 监视 器 [二 获 ; 1 (总 结 )] 
基文 件 四 编辑 人 显示 由) 工具 上 ) 选项 @) 窗口 如 帮助 0 


Sal vimlel EEEIS 人 | 3 9 |S | 型 下 
i [BRIMRE TU 


.O14849 O00OFec2512 
2. 014846. DODOFSC: . 
2 SI ATA 0 
0 06065866 有 和 TD 
10.22 
MATAD 


2.38: 
人 tteorey 


oo 
008 050 


4-14 捕获 数据 包 窗 口 


其 中 ,第 三 个 数据 包 是 SNMP 请 求 数据 包 , 第 四 个 数据 包 是 SNMP 应 答 数据 包 。 首 


先 双 击 第 三 个 数据 包 , 打 开 如 图 4-15 所 示 的 数据 包 分 析 窗 口 。 
这 个 窗口 分 为 三 个 部 分 ,上面 是 捕获 的 数据 包 列表 ,中 间 是 用 户 选 中 的 数据 包 的 分 析 


这 个 
情况 ,下 面 是 数据 包 的 十 六 进 制 表现 形式 。 通 过 中 间 的 数据 包 分 析 可 以 看 到 ,SNMP 请 
求 数 据 包 分 为 5 大 部 分 (实际 是 4 个 ) : Frame( 数 据 包 的 全 部 数据 )、Ethernet( 以 太 网 数 
据 头 部 分 ) 、IP(IP 数据 头 部 分 )、UDP(UDP 数据 报头 部 分 ) 和 SNMPCSNMP 数据 部 分 ) 。 


下 面 分 析 一 下 SNMP 的 数据 。 
。 Message type: SNMP 报 文 类 型 。 这 个 例子 中 SNMP vl 对 应 的 十 六 进 制 的 值 是 
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icreso ft 网 络 鉴 视 回 [捕获 : 1 ( 户 节 )] 
和 风 文 件 四 蝙 辑 全 显示 @) 工具 人 选项 @) 窗口 如 帮助 如 
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时 间 源 MWC 地 址 目标 WC EE 


tID= ER TB: Options = No Options 
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Eeeary For SP nersage 


图 4-15 数据 包 分 析 窗 口 (1) 


30, 表 示 后 面 的 数据 是 一 个 复合 的 构造 类 型 。 再 后 面 的 十 六 进 制 值 82 00 2C 表示 
这 个 SNMP 数据 部 分 去 除 前 4 个 字 节 后 的 长 度 (44 个 字 节 )。 

Version: SNMP 报 文 的 版 本 号 。 这 个 例子 中 是 0, 即 表示 为 SNMP vl。 根据 
4.2.1 节 中 介绍 的 ASN. 1 转换 语法 ,十 六 进 制 表现 形式 窗口 中 被 选择 的 数据 的 
第 5.6 和 ?7 字 节 表示 这 个 版 本 号 ,其 中 02 表示 数据 类 型 ,01 表示 数据 长 度 ,00 表 
示 实 际 的 值 。 

Community: 共同 体 。 这 里 的 值 是 public, 对 应 的 十 六 进 制 是 04 06 70 75 62 6C 
69 63, 其 中 04 表示 字符 串 数 据 ,06 表示 长 度 为 6 字 节 ,其 余 表 示 实 际 的 值 。 

PDU type: 协议 数据 单元 (PDU) 的 类 型 。 这 里 的 值 是 get-next request, 对 应 的 
十 六 进 制 值 是 al 。 其 他 操作 的 值 如 下 : get-request 的 值 为 a0 ,get-response 的 值 
为 a2。 再 后 面 的 三 个 字 节 是 PDU 的 头 部 ,82 00 1D 表示 后 面 还 有 29 个 字 节 的 
数据 。 

Request ID: 请 求 标识 。 数 据 包 中 共 占 4 个 字 节 , 其 中 第 一 个 02 表示 整 型 数据 ， 
第 二 个 02 表示 数据 长 度 , 后 面 两 个 字 节 2064 表示 请 求 标识 的 值 , 即 8292 。 

Error status: 差错 状态 ,在 请 求 时 值 设 置 为 0。 十 六 进 制 表示 为 02 01 00。 

Error index: 差错 索引 ,在 请 求 时 值 设 置 为 0。 十 六 进 制 表示 为 02 01 00。 
Sequence: 这 里 有 两 个 Sequence, 都 表示 数据 是 集合 类 型 。 

OID: 请 求 的 OID 对 象 名 。 这 里 是 1. 3. 6. 1. 2. 1. 1。 十 六 进 制 的 值 是 06 07 2b 06 
01 02 01 01 01 ,其 中 第 一 个 06 数据 是 MIB 变量 名 称 类 型 ,07 表示 数据 的 长 度 ， 
2b 表示 1. 3 的 和 ( 即 1X40 十 3 一 0x2b) 。 
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NULL Value: 表示 请 求 的 OID 对 象 的 值 ,请 示 时 为 空 ,十 六 进 制 的 值 是 05 00。 


SNMP 请 求 数据 包 的 响应 包 紧 跟着 被 捕获 , 即 第 四 个 数据 包 , 双 击 第 四 个 数据 包 , 打 
开 如 图 4-16 所 示 的 数据 包 分 析 窗 口 。 窗 口 布局 与 图 4-15 相同 。 


IEEEREGRE EEE ele 
TT 


0000F8C25122 BRDADCAST AEP_RARP 3 Request，Target IP: 10. 
LOCAL 00065866D53C 


00065B66D53C IDCAL 
363261 “LOCAL 00065866053C 
00065B68053C 
000078C25122 
XERDX 000000 


本 FRIE Buse Erome properties 

由 ETHERNET EType = Internet IP CIPv4) 

内 - 理 : Protocol = UDP - Vser Datagran: Packet ID = 30655; Total IP Length = 200; 0ptiens = Ho Options 
由 - ort Dst Unlnown, (1294), Length = 180 (DxB4) 


日 .SP PDY type = Response 
SIMP: Request ID = S292 (Dx2064) 
SHMP: Error status = nogrror 名) 
SHIP: Error index = 0 (Dx0) 


天 


Sumaary For SP message 


图 4-16 数据 包 分 析 窗口 (2) 


下 面 分 析 一 下 SNMP 的 数据 。 


Message type: SNMP 报 文 类 型 。 这 个 例子 中 是 SNMP vl 对 应 的 十 六 进 制 的 值 
是 30 ,表示 后 面 的 数据 是 一 个 复合 的 构造 类 型 。 再 后 面 的 十 六 进 制 值 81 A9 表 
示 这 个 SNMP 数据 部 分 去 除 前 几 个 字 节 后 的 长 度 (169 个 字 节 )。 

Version: SNMP 报 文 的 版 本 号 。 这 个 例子 中 是 0, 即 表示 为 SNMP v1。 其 十 六 
进 制 对 应 的 数据 是 02 01 00, 其 中 02 表示 数据 类 型 ,01 表示 数据 长 度 ,00 表示 实 
际 的 值 。 

Community: 共同 体 。 这 里 的 值 是 public, 对 应 的 十 六 进 制 是 04 06 70 75 62 6C 
69 63, 其 中 04 表示 是 字符 串 数据 ,06 表示 长 度 为 6 字 节 ,其 余 表示 实际 的 值 。 
PDU type: 协议 数据 单元 (PDU) 的 类 型 。 这 里 的 值 是 get-response, 对 应 的 十 六 
进 制 值 是 a2。 再 后 面 的 两 个 字 节 是 PDU 的 头 部 ,81 9B 表示 后 面 剩余 数据 的 
长 度 。 

Request ID: 请 求 标识 。 这 个 值 为 8292, 同 请 求 数据 包 中 的 值 相 同 。 

Error status: 差错 状态 。 这 个 例子 中 值 为 0, 表示 没有 错误 。 十 六 进 制 表示 为 


多 
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02 01 00 。 

Error index: 差错 索引 。 这 个 例子 中 值 为 0, 表示 没有 错误 。 十 六 进 制 表示 为 
02 01 00。 

Sequence: 这 里 有 两 个 Sequence, 都 表示 数据 是 集合 类 型 。 

OID: 请 求 的 OID 对 象 名 。 这 里 是 1. 3. 6. 1. 2. 1. 1。 十 六 进 制 的 值 是 06 07 2b 06 
01 02 01 01 01, 其 中 第 一 个 06 数据 是 MIB 变量 名 称 类 型 ,07 表示 数据 的 长 度 ， 
2b 表示 1. 3 的 和 ( 即 1 X40 十 3 二 0x2b)。 

String Value: 表示 请 求 的 OID 对 象 的 值 。 


4.4 远程 网 络 监视 


远程 网 络 监 控 (RMON) 是 对 SNMP 的 一 个 重要 增强 ,对 监测 和 管理 网 络 特别 有 用 。 
远程 网 络 监控 最 大 的 优点 就 在 于 它 与 现存 的 SNMP 框架 兼容 ,不 需要 对 SNMP 进行 任 
何 修改 即 可 使 用 。 


4.4.1 RMON 的 基本 概念 


远程 网 络 监控 (RMON) 是 一 个 标准 监控 规范 ,其 本 质 上 是 IETF 定义 的 一 组 对 管理 
信息 库 (MIB-2) 的 功能 的 扩展 ,MIB-2 只 提供 单个 设备 的 管理 信息 ,而 RMON 可 以 使 各 
种 网 络 监控 器 和 控制 台 系统 之 间 交 换 网 络 监控 数据 ,并 能 够 提供 信息 流量 的 统计 结果 和 
对 网 络 参 数 进行 分 析 ,以 便 能 够 做 出 对 网 络 的 故障 诊断 ,规划 调整 和 性 能 控制 。 

RMON 监视 系统 由 以 下 几 部 分 构成 : 代理 (监视 器 ) 和 管理 站 。RMON 代理 在 
RMON MIB 中 存储 网 络 信息 ,代理 可 以 被 直接 安装 在 网 络 设备 中 ,也 可 以 是 在 PC 上 运 
行 的 一 个 应 用 程序 。 代 理 只 能 看 到 流 经 其 自己 的 流量 ,所 以 在 每 个 被 监控 的 局 域 网 网 段 
或 广域网 连接 点 都 要 设置 RMON 代理 。 管 理 站 用 SNMP 获取 各 个 代理 中 的 数据 信息 ， 
汇总 后 形成 整个 网 络 系统 的 信息 。 

当前 RMON 有 两 种 版 本 ,分别 是 RMON 和 RMON2。RMON 在 目前 使 用 较为 广泛 
的 网 络 硬件 设备 中 都 能 发 现 , 它 定义 了 9 个 MIB 组 服务 于 基本 远程 网 络 监控 ;RMON2 
是 RMON 的 功能 扩展 ,其 主要 针对 数据 链 路 层 以 上 各 OSI 模型 层 进行 监控 。 

1. 远程 网 络 监视 的 目标 

RMON 定义 了 远程 网 络 监控 的 管理 信息 库 , 以 及 SNMP 管理 站 和 远程 网 络 监视 器 
之 间 的 接口 ,一般 RMON 的 目标 只 是 监视 子 网 范围 内 的 通信 ,从 而 减少 管理 者 和 代理 之 
间 的 通信 负担。RMON 具有 下 列 目标 。 

。 离线 操作 : 必要 时 管理 者 可 以 停止 对 监控 器 轮 询 ,有 限 的 轮 询 可 以 节省 网 络 带 宽 

和 通信 费用 。 即 使 不 受 管理 者 查询 ,监视 器 也 要 持续 不 断 地 收集 子 网 故障 、 性 能 
和 配置 方面 的 信息 .统计 和 积累 数据 ,以 便 管理 者 查询 时 能 够 及 时 提供 相关 的 管 
理 信 息 。 另 外 ,在 网 络 系统 出 现 异 常情 况 时 ,监视 器 也 能 及 时 向 管理 者 报告 。 

。 主动 监视 : 如 果 监 视 器 有 足够 的 资源 ,通信 和 负载 也 容许 ,监视 器 可 以 连续 地 或 周 

期 性 地 运行 诊断 程序 ,查询 并 记录 网 络 系统 的 性 能 参数 ,在 子 网 出 现 失 效 时 通知 
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管理 者 ,给 其 提供 有 效 的 诊断 故障 信息 。 
问题 检测 和 报告 : 如 果 主 动 监视 消耗 网 络 资源 太 多 ,监视 器 也 可 以 被 动 地 获取 网 
络 数 据 , 可 以 配置 监视 器 ,使 其 连续 观察 网 络 资源 的 消耗 情况 ,记录 随时 出 现 的 异 
常事 件 ,并 在 出 现 错误 事件 时 通知 管理 者 ,以 便 管理 者 做 出 相应 的 反应 。 
提供 增值 数据 : 监视 器 可 以 分 析 收 集 到 的 子 网 数据 ,从 而 减轻 管理 者 的 计算 
任务 。 
多 管理 站 操作 : 一 个 互联 网 可 能 有 多 个 管理 站 ,这 样 可 以 提高 可 靠 性 ,或 是 分 步 
地 实现 各 种 不 同 的 网 络 管理 功能 。 监 视 器 可 以 配置 为 并 发 的 工作 模式 ,为 不 同 的 
管理 站 提供 不 同 的 信息 。 

需要 注意 ,不 是 每 一 个 监视 器 都 能 实现 上 述 所 有 目标 的 ,只 是 RMON 的 规范 提供 了 
实现 这 些 目标 的 基础 结构 和 理论 依据 。 

2. 表 管 理 操作 原理 

在 SNMP 管理 框架 中 ,对 表 操作 的 规定 很 不 完善 ,增加 和 删除 表 行 的 操作 是 不 明确 
的 。 这 种 模糊 性 常常 是 用 户 提问 的 焦点 和 抱怨 的 根源 。RMON 规范 包含 了 一 组 文字 约 
定 和 过 程 规则 ,在 不 修改 ,不 违反 SNMP 管理 框架 的 前 提 下 提供 了 清晰 准确 并 有 规律 性 
的 行 增加 和 行 删 除 操作 。 

3. 多 管理 站 访问 

RMON 监视 器 应 允许 多 个 管理 站 并 发 地 访问 , 当 多 个 管理 站 同时 访问 时 可 能 出 现下 
列 问题 ， 

。 多 个 管理 站 对 资源 的 并 发 访问 可 能 超过 监视 器 的 能 力 ; 

。 一 个 管理 站 可 能 长 时 间 占 用 监视 器 资源 ,使 得 其 他 管理 站 无 法 访问 ; 

。 占用 监视 器 资源 的 管理 站 可 能 发 生 崩溃 ,但 是 其 没有 释放 占用 的 资源 。 

对 于 上 述 问题 ,RMON 提出 了 解决 问题 的 方法 

。 管理 站 能 认得 自己 所 属 的 资源 :也 知道 自己 不 再 需要 的 资源 ; 

，* 网 络 管理 操作 员 可 以 知道 管理 站 占有 的 资源 ,并 决定 是 否 释放 这 些 资源 ; 

。 一 个 被 授权 的 网 络 操作 员 可 以 单方 面 地 决定 是 否 释放 其 他 操作 员 所 占用 的 资源 ; 

。 如 果 管 理 站 经 过 了 重启 动 过 程 , 它 应 该 首先 释放 不 再 使 用 的 资源 。 


4.4.2 RMON 的 信息 管理 库 


RMON MIB 由 一 组 统计 数据 、 分 析 数 据 和 诊断 数据 构成 ,利用 许多 供应 商 生产 的 标 
准 工具 都 可 以 显示 出 这 些 数据 ,因而 它 具 有 独立 于 供应 商 的 远程 网 络 分 析 功 能 。RMON 
规范 定义 了 管理 站 信息 库 RMON MIB. 它 是 MIB-2 下 面 的 子 树 ,其 OID 为 . iso. org. 
dod. internet. mgmt. mib-2. rmon(. 1. 3. 6. 1. 2. 1. 16)。RMON MIB 共 分 为 9 个 组 ,存储 
在 每 一 组 中 的 信息 都 是 监视 器 从 一 个 或 几 个 子 网 中 统计 和 收集 的 数据 ,这 9 个 组 分 别 是 : 
。 统计 量 组 (statistics) ,提供 了 一 个 以 太 网 状态 表 , 标 识 子 网 的 统计 信息 ,大 部 分 是 
计数 器 。 
。 历史 组 (history) ,存储 的 是 通过 固定 间隔 取样 所 获得 的 子 网 信息 数据 ,其 由 历史 
控 列 表 和 以 太 网 历史 表 组 成 。 
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。 报警 组 (alarm) ,其 由 一 个 表 组 成 ,该 表 定 义 了 监视 的 变量 .采样 区 间 和 闽 值 。 报 
警 类 型 有 两 种 : absolutevalue 表示 直接 与 阔 值 比较 ;datavalue 表示 相 减 后 比较 ， 
校正 量 报警 。 

。 主机 组 (hosts) ,收集 新 出 现 的 主机 信息 ,内 容 与 接口 组 同 。 

。 主机 最 大 值 组 (host Top n) ,记录 某 组 参数 最 大 的 n 台 主 机 的 有 关 信 息 ,信息 来 源 
于 主机 组 。 

。 和 矩阵 组 (matrix) ,记录 子 网 中 主机 之 间 的 通信 量 ,信息 以 矩阵 形式 存储 。 

。 过 滤器 组 (filter) ,其 可 以 通过 过 滤 选 择 出 某 种 指定 的 特殊 分 组 ,这 个 组 定义 了 两 
个 过 滤器 : 数据 过 滤器 按 位 模式 匹配 ;状态 过 滤器 按 状态 匹配 。 

。 捕获 组 (capture) ,建立 一 组 缓冲 区 ,用 于 存储 从 通道 中 捕获 的 分 组 ,其 由 控制 表 和 
数据 表 组 成 。 

。 事件 组 (event) ,其 作用 是 管理 事件 ,由 事件 表 和 log 表 组 成 ,前 者 定义 事件 的 作 
用 ,后 者 记录 事件 出 现 的 顺序 和 时 间 。 事 件 是 由 MIB 中 其 他 地 方 的 条 件 触发 的 ， 
事件 也 能 触发 其 他 地 方 的 事件 。 产 生 事 件 的 条 件 在 RMON 其 他 组 中 定义 ,如 报 
警 组 和 过 滤 组 都 可 以 指向 事件 组 的 索引 项 。 时 间 还 能 使 事件 组 存储 有 关 信 息 ,其 
至 引起 代理 进程 发 送 陷入 消息 。 

RMON 组 的 组 成 图 如 图 4-17 所 示 。 一 般 的 交换 机 至 

少 支持 4 组 ( 即 统计 量 组 ,历史 组 ,报警 组 和 事件 组 )。 

这 9 个 功能 组 都 是 任 选 的 ,但 实现 时 有 下 列 关联 关系 : 

。 实现 警报 组 时 必须 实现 事件 组 。 

。 实现 主机 最 大 值 组 时 必须 实现 主机 组 。 

。 实现 捕获 组 时 必须 实现 过 滤 组 。 图 4-17 RMON 组 的 组 成 图 


4.4.3 ”RMON2 信息 管理 库 


RMON 主要 监测 和 控制 OSI 模型 中 的 物理 层 和 数据 链 路 层 , 而 ROMN2 主要 应 用 
于 OSI 模型 中 数据 链 路 层 以 上 各 层 , 主 要 监控 IP 流量 和 应 用 程序 层 流量 。RMON2 允许 
网 络 管理 应 用 程序 监控 所 有 网 络 层 的 信息 包 , 这 与 RMON 不 同 ,后 者 只 允许 监控 数据 链 
路 层 及 其 下 层 的 信息 包 。 
RMON2 监视 OSI 模型 中 第 三 层 到 第 七 层 的 通信 数据 ,其 能 够 对 数据 链 路 层 以 上 的 
分 组 进行 译 码 ,这 使 得 监视 器 可 以 管理 网 络 层 以 上 协议 ,包括 了 了 ,因而 能 了 解 分 组 的 源 和 
目标 地 址 ,能 知道 路 由 器 负载 的 来 源 , 使 得 监视 的 范围 扩大 到 局 域 网 之 外 。 监 视 器 也 能 监 
视 应 用 层 协 议 , 如 电子 邮件 协议 ,文件 传输 协议 HTTP 等 ,这 样 监视 器 就 可 以 记录 主机 
应 用 活动 的 数据 ,可 以 显示 各 种 应 用 活动 的 图 表 , 这 些 对 网 络 管理 人 员 都 是 很 重要 的 
信息 。 
RMON2 在 RMON MIB 基础 上 增加 了 9 个 功能 组 。 
。 协议 目录 组 : 提供 各 种 网 络 协议 的 标准 化 方法 ,使 得 管理 站 可 以 了 解 监视 器 所 在 
子 网 运行 什么 协议 。 协 议 目录 是 一 种 简单 的 便于 共同 建立 RMON2 应 用 程序 、 实 
现 RMON 代理 的 途径 ,这 对 于 应 用 程序 和 代理 出 自 不 同 的 提供 商 的 情况 尤其 
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重要 。 

协议 分 布 组 : 提供 每 个 协议 产生 的 通信 统计 数据 ,将 监测 器 收集 的 数据 转换 为 正 
确 的 协议 名 ,从 而 可 以 显示 给 网 络 管理 者 。 

地 址 映像 组 : IP 地 址 与 MAC 地 址 的 映射 表 。MAC 层 的 地 址 与 网 络 层 的 地 址 之 
间 的 转换 使 得 读 和 记忆 变 得 容易 ,地 址 转换 不 仅 为 网 络 管理 者 提供 了 帮助 ,而 且 
它 支 持 SNMP 管理 平台 并 引入 了 改进 的 拓扑 布局 转换 。 

网 络 层 主机 组 : 收集 网 络 上 主机 的 信息 。 

网 络 层 矩 阵 组 : 网 络 上 源 和 目标 的 通信 情况 。 

应 用 层 主机 组 : 收集 每 个 应 用 的 通信 情况 。 

应 用 层 和 矩阵 组 : 统计 应 用 协议 之 间 的 通信 情况 。 

用 户 历史 组 : 周期 性 地 收集 统计 数据 ,这 一 特性 使 网 络 管理 者 能 够 配置 系统 中 的 
任何 历史 记录 ,例如 ,在 指定 文件 服务 器 或 路 由 器 对 路 由 器 的 连接 上 的 特殊 历史 
记录 。 

监视 器 配置 组 : 定义 了 监视 器 标准 参数 的 集合 ,RMON2 的 这 一 特性 使 某 提供 商 
的 RMON 应 用 程序 能 够 配置 其 他 提供 商 的 RMON 探测 器 。 


RMON2 还 引入 了 两 种 与 对 象 索引 有 关 的 新 功能 ,增加 了 RMON2 的 能 力 和 灵活 性 ， 
这 两 种 功能 分 别 是 : 外 部 对 象 索引 和 时 间 过 滤器 索引 。 


《区 本 章 小 结 


本 章 主要 讲述 了 基于 简单 网 络 管理 协议 (SNMP) 的 网 络 管理 内 容 和 管理 信息 库 
(MIB) 的 概念 及 组 成 ,重点 讲解 了 SNMP 数据 单元 和 其 操作 功能 ,并 给 出 了 一 些 示例 ,最 
后 对 远程 网 络 监控 (RMON 和 RMON2) 进 行 了 简单 的 讲解 。 因 为 学 时 限制 ,在 教材 中 没 
有 介绍 SNMP 的 全 部 内 容 , 感 兴趣 的 读者 可 以 参阅 其 他 教材 。 


8 加 木 间 习 题 


睛 上 性 


. ISO 定义 的 网 络 管理 有 哪 几 个 功能 ? 

. 管理 信息 库 第 2 版 (MIB-2) 中 有 9 个 功能 组 ,分别 是 什么 ? 
.简单 网 络 管理 协议 (SNMP) 有 哪 几 个 操作 ? 

. 远程 网 络 监控 (RMON) 的 功能 是 什么 ? 


i 
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基于 SNMP 的 网 络 管理 系统 


【本 章 重点 】 
掌握 基于 SNMP 网 络 管理 的 概念 和 功能 。 掌 握 SiteView NNM 的 拓扑 图 管理 ,设备 
管理 ,IP 资源 管理 ,警告 管理 和 检测 报表 管理 等 技术 。 


计算 机 网 络 技术 的 迅猛 发 展 ,给 网 络 管理 提出 了 严肃 的 课题 。 如 何 有 效 地 管理 网 络 
中 数量 越 来 越 多 、 异 构 性 越 来 越 强 的 网 络 设备 ,使 计算 机 网 络 运 行 的 可 靠 性 \ 安 全 性 变 得 
越 来 越 强 ,成 了 网 络 管理 者 对 网 络 管 理 系 统 的 基本 要 求 。 而 网 络 设备 供应 商 对 SNMP 的 
支持 ,为 这 种 实现 提供 了 可 能 ,本 章 将 对 此 进行 探讨 。 


5.1 基于 SNMP 的 网 络 管理 系统 基础 知识 


计算 机 网 络 管理 系统 就 是 管理 网 络 的 软件 系统 。 计 算 机 网 络 管理 就 是 收集 网 络 中 各 
个 组 成 部 分 静态 ,动态 的 运行 信息 ,并 在 这 些 信息 的 基础 上 进行 分 析 和 作出 相应 的 处 理 ， 
以 保证 网 络 安全 可 靠 、 高 效 地 运行 ,从 而 合理 地 分 配 网 络 资源 ,动态 地 配置 网 络 负载 , 优 
化 网 络 性 能 ,减少 网 络 维护 费用 。 

1. 网 络 管理 系统 的 基本 构成 

-个 典型 的 网 络 管理 系统 包括 4 个 要 素 : 管理 应 用 程序 .管理 代理 ,管理 信息 库 、 代 

理 服 务 设备 ,如 图 5-1 所 示 。 

管理 应 用 程序 : 它 是 实施 网 络 管理 的 实体 , 驻 留 在 管理 工作 站 上 。 它 是 整个 网 络 系 
统 的 核心 ,完成 复杂 网 络 管理 的 各 项 功能 。 网 络 管理 系统 要 求 管理 代理 定期 收集 重要 的 
设备 信息 ,收集 到 的 信息 将 用 于 确定 单个 网 络 设备 、 部 分 网 络 或 整个 网 络 的 运行 状态 是 否 
正常 。 

管理 代理 : 网 络 管理 代理 是 驻 留 在 网 络 设备 (这 里 的 设备 可 以 是 UNIX 工作 站 、 网 络 
打印 机 ,也 可 以 是 其 他 网 络 设备 ) 中 的 软件 模块 , 它 可 以 获得 本 地 设备 的 运转 状态 、 设 备 特 
性 、 系 统 配置 等 相关 信息 。 网 络 管理 代理 所 起 的 作用 是 : 充当 管理 系统 与 管理 代理 软件 
驻 留 设备 之 间 的 中 介 , 通 过 控制 设备 的 管理 信息 数据 库 (MIB) 中 的 信息 来 管理 该 设备 。 

管理 信息 库 : 它 存储 在 被 管理 对 象 的 存储 器 中 ,管理 库 是 一 个 动态 刷新 的 数据 库 , 它 
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网 络 管理 系统 NMS) 


用 户 接口 


代理 代理 | 代理 
被 管 设备 被 管 设备 被 管 设备 


5-1 网 管 系统 构成 要 素 


包括 网 络 设备 的 配置 信息 ,数据 通信 的 统计 信息 ,安全 性 信息 和 设备 特有 信息 。 这 些 信 息 
被 动态 地 送 往 管理 器 ,成 为 网 络 管理 系统 的 数据 来 源 。 

代理 服务 设备 : 代理 设备 在 标准 网 络 管理 软件 和 不 直接 支持 该 标准 协议 的 系统 之 间 
起 桥梁 作用 。 利 用 代理 设备 ,不 需要 升级 整个 网 络 就 可 以 实现 从 旧 协 议 到 新 版 本 的 过 渡 。 

2. 网 络 管理 系统 的 体系 结构 

网 络 管 理 系 统 根据 网 络 管理 所 采用 的 工作 方式 不 同 ,通常 分 为 两 种 结构 : 一 种 是 采 
用 以 平台 为 中 心 的 工作 模式 ,通常 称 为 集中 式 体系 结构 ,这 种 工作 模式 把 单一 的 管理 者 分 
成 管理 平台 和 管理 应 用 两 部 分 ,管理 平台 的 主要 作用 在 于 信息 的 收集 和 处 理 , 管 理应 用 则 
是 把 管理 平台 处 理 过 的 信息 进行 再 分 析 , 从 中 得 出 可 以 进行 决策 的 信息 ,并 用 以 发 出 指 
令 , 还 可 以 借助 这 些 再 处 理 的 信息 执行 更 高 级 的 功能 。 

另 一 种 体系 结构 是 非 集中 式 的 。 层 次 方式 和 分 布 式 是 这 种 网 络 管理 体系 结构 的 主要 
内 容 。 其 中 层次 方式 是 指 把 整个 管理 网 络 分 为 一 个 个 独立 的 域 ,然后 以 域 为 单位 ,在 每 个 
域 上 设立 一 个 管理 者 ,这 个 管理 者 可 以 是 现实 中 的 人 ,也 可 以 是 一 个 虚拟 化 的 管理 者 , 管 
理 者 借助 管理 员 设 置 的 密 钥 或 者 其 他 登录 方式 访问 管理 界面 .对 网 络 进行 管理 ,管理 者 不 
必 是 一 个 固定 的 对 象 ,但 必须 是 掌握 了 管理 员 协 议 的 ,不 存在 任何 危及 系统 安全 隐患 的 才 
可 以 登录 管理 界面 ,否则 便 是 非法 入 侵 系 统 。 

管理 员 之 间 一 般 不 直接 进行 通信 联系 ,而 是 通过 上 层 的 MOM。 层 次 方式 可 以 通过 
增加 一 级 MOM 的 方式 ,将 层次 不 断 加 深 , 相 对 来 说 具有 一 定 的 伸缩 性 。 

分 布 式 是 指 将 整个 管理 系统 分 为 多 个 管理 方 , 它 们 之 间 的 地 位 和 作用 是 对 等 的 ,同时 
存在 于 网 络 中 ,每 个 管理 者 都 对 系统 中 的 一 个 特定 部 分 进行 管理 ,他 们 之 间 可 以 相互 通信 
或 通过 高 级 管理 者 进行 协调 。 

在 计算 机 网 络 管理 中 ,选择 哪 种 管理 体系 结构 ,主要 应 该 根据 实际 需要 来 确定 。 目 
前 , 随 着 网 络 管理 方式 的 不 断 发 展 , 一 种 融合 两 种 体系 优点 的 新 的 网 络 管理 结构 体系 正在 
探讨 中 ,目前 在 技术 上 还 不 够 成 熟 , 相 信 在 不 久 的 将 来 .这 种 新 的 网 络 管理 结构 体系 必 将 
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随 着 技术 的 发 展 而 日 趋 成 熟 并 得 到 广泛 的 运用 。 

3. 计算 机 网 管 系统 的 发 展 趋势 

现在 的 计算 机 网 络 管理 系统 开始 向 应 用 层次 渗透 。 传 统 的 计算 机 网 络 管理 系统 所 注 
意 的 对 象 就 是 处 在 网 络 层 的 各 种 网 络 设备 ,利用 SNMP 来 控制 和 管理 设备 ,以 设备 或 者 
设备 集 为 中 心 。 现 在 用 户 在 网 上 的 应 用 增多 ,应 用 对 网 络 带 宽 的 要 求 也 越 来 越 高 了 。 

其 中 有 一 些 应 用 服务 要 求 对 时 间 敏感 的 数据 传输 ,如 实时 音频 视频 的 传输 等 ,而 有 一 
些 数据 则 对 时 间 敏 感度 不 高 。 因 此 ,在 现 有 的 网 络 带 宽 有 限 的 情况 下 ,为 了 更 好 地 利用 带 
宽 资源 ,必须 改变 原来 不 区 分 服务 内 容 的 传输 ,而 是 根据 服务 的 内 容 , 给 各 个 应 用 提供 高 
质量 的 服务 ,这 也 就 是 QoS(Quality of Services)。 网 络 管理 吸收 了 这 样 的 思想 ,开始 把 
自己 的 控制 力 从 网 络 层 渗透 到 了 应 用 层 ,RMON2 就 在 这 方面 进行 了 尝试 ,这 也 是 网 络 管 
理 系统 的 一 个 重要 的 变化 。 

然而 ,尽管 网 络 管理 技术 多 种 多 样 . 各 具 特 色 , 但 是 随 着 标准 化 活动 的 开展 及 系统 互 
联 的 需要 , 网 络 管理 发 展 有 以 下 趋势 。 

(1) 实现 分 布 式 网 络 管理 

分 布 式 对 象 的 核心 是 解决 对 象 跨 平 台 连 接 和 交互 的 问题 ,以 实现 分 布 式 应 用 系统 , 像 
OMG 组 织 提出 的 CORBA 就 是 较 理 想 的 平台 。 分 布 式 网 管 就 是 设立 多 个 域 管理 进程 ， 
域 管理 进程 负责 管理 本 域 的 管理 对 象 ,同时 进程 间 进 行 协调 和 交互 ,以 完成 对 全 局 网 的 管 
理 。 这 样 ,不 仅 减少 了 中 央 网 管 的 负荷 ,而 且 减 少 了 网 管 信息 传递 的 时 延 , 使 管理 更 为 有 
效 。 当 前 ,分布 式 技术 主要 从 两 个 方面 进行 研究 : 一 个 是 利用 CORBA 技术 ; 另 一 个 是 利 
用 移动 代理 技术 。 

基于 CORBA 技术 的 网 络 管理 ,目前 处 于 研究 阶段 ;移动 代理 技术 也 仅 在 各 个 区 域 进 
行 研究 。 何 时 推 向 市 场 和 走 进 网 络 管理 应 用 还 是 个 未 知 数 。 因 此 ,在 未 来 的 近期 使 用 中 ， 
可 采用 集中 分 布 式 的 网 络 管理 模型 具体 实现 管理 集中 、 数 据 采 集 分 布 的 管理 功能 。 即 一 
个 管理 站 进行 数据 呈现 和 管理 ,在 数据 采集 这 种 消耗 大 量 内 存 和 占用 大 量 带 宽 方面 采用 
分 布 式 方法 获得 。 实 现 方 法 为 管理 站 具有 分 发 代码 的 功能 ,在 网 络 层 发 现 网 关 后 ,同时 向 
该 网 关 发 送 代码 实现 该 子 网 的 各 项 数据 采集 ,以 此 减轻 管理 站 的 负担 和 减少 管理 端 网 络 
拥塞 。 

(2) 实现 综合 化 网 络 管理 

综合 化 网 络 管理 要 求 网 络 管理 系统 提供 多 种 级 制 的 管理 支持 。 通 过 一 个 操作 台 实 现 
对 各 个 子 网 的 透视 ;对 所 管 业务 的 了 解 以 及 提供 对 故障 的 定位 和 排除 的 支持 , 即 实现 对 互 
联 的 多 个 网 络 的 管理 。 随 着 网 络 管理 的 重要 性 越 来 越 突出 ,各 种 各 样 的 网 络 管理 系统 应 
运 而 生 。 这 些 管 理 系统 有 管理 SDH 网 络 的 ,有 管理 IP 网络 的 ,等 等 。 

一 方面 , 这 些 网 络 管理 系统 所 管理 的 网 络 存在 互联 或 互相 依赖 的 关系 ; 另 一 方面 , 存 
在 多 个 网 管 系统 ,相互 独立 ,分 管 网 络 的 不 同 部 分 ,甚至 会 同时 存在 多 个 相同 内 容 的 网 管 
系统 ,它们 来 自 多 个 厂家 ,分 别管 理 着 各 自 的 设备 。 这 就 大 大 增加 了 网 络 管理 的 复杂 性 。 
像 网 络 电视 ,就 需要 管理 几 个 方面 : 数字 干线 传输 .光缆 线 路 .前端 及 分 前 端 级 供电 房 供 
电 、 空 调 环境 的 监测 维护 、 数 据 库 及 数据 交换 信息 服务 .前 端 节 目 源 及 视频 .音频 设备 和 
HFC 综合 接 入 网 等 。 
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这 些 被 管 对 象 作为 一 个 网 管 系统 的 被 管 对 象 是 不 实际 的 ,因为 不 仅 设备 的 种 类 不 同 ， 
而 且 其 特性 也 大 不 相同 ,并 且 它 们 之 间 还 有 一 定 的 关系 ,针对 这 种 问题 ,可 把 它们 分 割 为 
不 同 的 网 管 系统 , 然后 在 高 层 采 用 一 个 综合 的 网 管 系统 ,以 便于 管理 。 综 合 网 络 管理 系 
统 的 实现 有 两 种 方案 : 一 种 是 针对 已 经 建立 起 的 各 个 专用 子 网 的 管理 系统 的 不 同情 况 ， 
在 此 基础 上 建立 综合 网 络 管理 系统 ; 另 一 种 是 直接 建立 一 个 综合 网 络 管理 系统 。 而 在 我 
国 , 网 络 电视 还 没有 成 熟 , 所 以 宜 采 用 第 二 种 方法 ,因此 ,未 来 的 网 络 管理 须 重点 向 综合 化 
发 展 。 

(3) 实现 对 业务 的 监控 功能 

传统 网 管 都 是 针对 网 络 设备 的 管理 ,并 不 能 直接 反映 出 设备 故障 对 业务 的 影响 。 目 
前 有 些 网 管 产品 已 经 实现 了 对 进程 的 监控 ,但 是 有 些 服务 ,虽然 服务 已 经 终止 ,但 是 进程 
仍然 存在 ,并 不 能 明确 显示 对 服务 监控 。 对 于 客户 来 说 ,他 们 注重 所 得 到 的 服务 , 像 节 目 
的 多 少 、 节 目的 质量 等 ,因此 ,对 服务 、 业 务 的 监控 将 是 网 管 进一步 的 管理 目标 。 

(4) 实现 智能 化 管理 

支持 策略 管理 和 网 络 管理 系统 本 身 的 自 诊断 、 自 调整 。 采 用 人 工 智 能 技术 进行 维护 、 
诊断 ,排除 故障 及 维护 网 络 运 行 在 最 佳 状态 成 为 必然 趋势 。 当 网 络 管理 和 用 户 需求 不 直 
接 联系 ;网 络 性 能 下 降 等 网 络 运行 性 能 变化 时 ,必须 用 智能 化 方法 对 涉及 性 能 下 降 所 相关 
的 网 络 资源 进行 监控 ,执行 必要 的 操作 。 

(5) 实现 基于 Web 的 管理 

通过 使 用 Web 浏览 器 在 网 络 的 任何 节点 上 去 监测 ,控制 网 络 及 各 子 网 的 管理 功能 。 
基于 Web 的 管理 以 其 统一 、 友 好 的 界面 风格 ,地 理 和 系统 上 的 可 移动 性 以 及 系统 平台 
独立 性 吸引 着 越 来 越 多 的 用 户 和 开发 商 。 

目前 的 计算 机 网 络 管理 功能 仅 实现 了 该 网 络 管理 系统 功能 开发 和 应 用 的 一 部 分 , 离 
整个 计算 机 网 络 管理 功能 的 实现 还 有 一 定 的 差距 ,今后 可 在 这 方面 作 进一步 研究 和 开发 ， 
以 完善 其 管理 。 

4. 常见 的 基于 SNMP 的 管理 软件 

(1) 惠普 公司 的 HP OpenView 

HP OpenView 是 HP 公司 开发 的 网 络 管理 平台 ,是 一 种 当前 网 络 管理 领域 比较 流行 
的 、 开 放 式 、 模 块 化 .分 布 式 的 网 络 /系统 管理 解决 方案 。 它 集成 了 网 络 管理 和 系统 管理 的 
优点 ,并 把 两 者 有 机 地 结合 在 一 起 ,形成 了 一 个 单一 而 完整 的 管理 系统 。 作 为 业界 领先 的 
网 络 管理 平台 ,Network Node Manager 和 Network Node Manager Extended Topology 
共同 构成 了 业界 最 为 全 面 、 开 放 、 广 泛 和 易 用 的 网 络 管理 解决 方案 。 该 解决 方案 可 以 管理 
交换 式 第 二 层 和 路 由 式 第 三 层 综合 环境 。 

Network Node Manager 和 Network Node Manager Extended Topology 可 以 让 用 户 
知道 自己 的 网 络 什 么 时 候 出 了 问题 ,并 帮助 用 户 在 这 个 问题 发 展 成 为 严重 故障 之 前 解决 
它 。 与 此 同时 ,它们 还 可 以 帮助 用 户 智能 化 地 采集 和 报告 关键 性 的 网 络 信息 ,以 及 为 网 络 
的 发 展 制订 计划 。Network Node Manager 可 以 自动 地 搜索 用 户 的 网 络 ,帮助 用 户 了 解 
自己 的 网 络 环境 。 对 第 三 层 和 第 二 层 环境 进行 问题 根本 原因 分 析 ; 提 供 故障 诊断 工具 , 帮 
助 用 户 快速 解决 复杂 问题 。 收 集 主 要 网 络 信息 ,帮助 用 户 发 现 问题 并 主动 进行 管理 。 为 
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用 户 提供 即时 可 用 的 报告 .帮助 用 户 提前 为 网 络 的 扩展 制订 计划 。 让 网 络 维护 人 员 管理 
人 员 和 客户 可 以 通过 Web 从 任何 地 方 进行 远程 访问 。 通 过 它 的 分 布 式 体系 管理 大 型 的 
网 络 。 提 供 有 针对 性 的 事件 视图 ,以 便 迅 速 地 发 现 和 诊断 问题 。 提 供 一 个 增强 的 Web 用 
户 界 面 和 一 些 用 于 动态 更 新 设备 状态 的 新 视图 (这 种 功能 需要 采用 Network Node 
Manager Extended Topology) 。 提 供 可 以 显示 设备 之 间 复 杂 关 系 的 视图 等 其 他 功能 。 

(2) Cisco 公司 的 Cisco Works 

Cisco Works 是 Cisco 公司 为 网 络 系统 管理 提供 的 一 个 基于 SNMP 的 管理 软件 系 
列 , 它 可 集成 在 多 个 现行 的 网 络 管理 系统 上 ,如 SunNet Manager、HP Open View 以 及 
IBM Net View 等 。Cisco Works 为 路 由 器 管理 提供 了 强 有 力 的 支持 工具 , 它 主要 为 网 络 
管理 员 提供 以 下 几 个 方面 的 应 用 : 可 执行 自动 安装 任务 .简化 手工 配置 。 提 供 调 试 .配置 
和 拓扑 等 信息 ,并 生成 相应 的 Drofile 文件 。 提 供 动态 的 统计 状态 和 综合 配置 信息 以 及 
基本 故障 监测 功能 。 搜 集 网 络 数据 并 生成 相应 的 图 表 和 流量 趋势 以 提供 性 能 分 析 。 具 有 
安全 管理 和 设备 软件 管理 功能 。 

(3) Solarwinds 

Solarwinds 改变 了 各 种 规模 的 公司 的 网 络 监控 \ 管 理 模式 , 和 同类 软件 HP 
OpenView、BMC 相 比 ,功能 上 虽然 没有 那么 强大 ,但 其 也 有 非常 大 的 优势 。 首 先 价格 较 
便宜 ,这 是 各 个 企业 考虑 的 重要 因素 之 一 。 其 次 操作 简单 .配置 方便 ,不 像 HP OpenView 
之 类 的 软件 需要 专门 人 员 进 行 配 置 ,界面 相当 友好 .逻辑 性 很 强 ,一 般 的 技术 人 员 即 可 以 
操作 。 男 外 被 管理 设备 只 需 开启 SNMP 即 可 ,不 必 安 装 Agent, 不 必 重 启 , 对 当前 业务 系 
统 无 影响 。 同 时 Solarwinds 系列 网 管 主要 分 为 三 大 功能 : 故障 和 性 能 管理 、 配 置 管理 、 
网 管 必 备 工具 集成 。 

(4) 游 龙 科 技 SiteView 网 络 管理 系统 

SiteView 是 中 国 游 龙 科技 自主 研发 的 、 专 注 于 网 络 应 用 的 故障 诊断 和 性 能 管理 的 运 
营 级 的 监测 管理 系统 ,主要 服务 于 各 种 规模 的 企业 内 网 和 网 站 ,可 以 广泛 地 应 用 于 局 域 
网 ,广域网 和 互联 网 上 的 服务 器 、 网 络 设备 及 其 关键 应 用 的 监测 管理 。SiteView 产品 包 
括 ITSM: IT 服务 管理 ;ECC: 综合 系统 管理 ;NNM: 网 络 设 备 管理 ;LM: 系统 日 志 管 
理 ;EIM: 互联 网 行为 网 关 ; DM: 桌面 管理 ;VLAN: 虚拟 局 域 网 ;TR069: 智能 设备 
管理 。 

SiteView 具有 以 下 特点 : 对 网 络 、 服 务 器 、 中 间 件 .数据库 .电子 邮件 .WWW 系统 、 
DNS 服务 器 文件 服务 .电子 商务 等 应 用 实现 全 面 深入 的 监测 :采用 非 代 理 、 集 中 式 监 测 
模式 ,被 监测 机 器 无 须 安装 任何 代理 软件 ; 跨 各 种 异 构 操作 平台 的 监测 。 监 测 平台 包括 各 
种 UNIX、Linux 和 Windows NT/2000 系统 ;故障 实时 监测 报警 .报警 可 以 通过 SMS、 邮 
件 、 声 音 、 电 话语 音 卡 等 多 种 方式 发 送 ;网 络 标 准 故 障 的 自动 化 诊断 恢复 ;自动 生成 网 络 拓 
扑 结构 ,快速 获得 并 且 随 时 更 新 网 络 的 拓扑 图 ;网 络 应 用 拓扑 直观 显示 真实 网 络 环 境 的 运 
行 状况 ;标准 化 .个 性 化 的 报表 系统 ,可 定时 发 送 到 网 管 人 员 的 邮箱 ;智能 模拟 用 户 行为 监 
测 业 务 流程 (如 网 上 购书 、 网 络 报税 ,网 上 年 检 等 )。 系 统 采 用 分 布 式 架构 、 支 持 多 国语 
言 等 。 
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5.2 SiteView NNM 管理 控制 台 简 介 


SiteView NNM 是 专门 针对 中 国 网 管 人 员 开 发 的 网 络 设备 管理 软件 。 它 全 面 支持 
SNMP vl、v2, 方 便 导 入 MIB 库 , 并 提供 可 远程 操作 的 设备 面板 图 。SiteView NNM 通过 
动态 搜索 网 络 内 的 所 有 子 网 ,全 面 呈现 网 络 拓 扑 结构 .实时 显示 网 络 设 备 、 服 务 器 和 PC 
设备 的 运行 状况 和 资源 利用 状况 。SiteView NNM 由 拓扑 图 管理 ,设备 管理 ,IP 资源 管 
理 , 告 警 管理 ,监测 报表 日志、 系统 设置 几 个 模块 组 成 。 系 统 具 有 技术 领先 ,运行 稳定 的 
优点 ,同时 ,也 是 一 款 搜索 快 .数据 全 、 功 能 强大 、 性 价 比 高 的 拓扑 自动 发 现 软件 。 

启动 程序 后 ,登录 到 SiteView NNM 的 操作 界面 ,如 图 5-2 所 示 。SiteView NNM 是 
架构 在 Microsoft 管理 控制 台 上 的 一 个 系统 。 它 通过 提供 在 不 同 模块 (也 称 为 管理 单元 ) 
间 通 用 的 窗口 ,菜单 工具 栏 描述 栏 等 ,来 统一 和 简化 SiteView NNM 中 的 日 常 系统 管 
理 任务 。MMC 本 身 不 执行 管理 功能 ,但 承载 了 SiteView NNM 中 能 够 执行 管理 功能 的 
各 种 管理 单元 。 如 图 5-2 所 示 ,是 MMC 窗口 结构 和 各 控件 的 名 称 。 


日 Siteyiew mm 3.| 旬 可 以 设置 设备 洛 警 时 沼 要 通知 攻 | 车 要 管理 
由 -网 拓扑 图 管理 | 记 省 区 设置 设备 肖 警 因 值 ,省 合 方式 ， 
a WT 记录 了 设备 省 警 的 当前 信息 , 查 


5-2 ”SiteView NNM 操作 界面 


(1) 标准 菜单 : 包括 5 个 菜单 选项 , 即 文件 .操作 、 查 看 、 窗 口 .帮助 ,它们 的 作用 如 下 。 

“文件 "菜单 可 以 执行 磁盘 清理 ,清理 用 户 更 改 MMC 视图 时 系统 自动 保存 的 配置 文件 。 

“操作 ”菜单 对 应 操作 窗 格 , 其 当前 可 用 的 操作 与 操作 窗 格 中 的 一 样 。 

“查看 ”菜单 作用 于 结果 窗口 , 它 包 括 添 加 /删除 列表 、 大 图 标 、 小 图 标 、 列 表 、 详 细 信 
息 、 自 定义 视图 ,选择 这 些 项 目 , 可 以 改变 结果 窗口 的 显示 效果 。 

“窗口 ”由 新 建 窗口 .窗口 排列 方式 .当前 打开 的 窗口 组 成 。 当 前 打开 的 窗口 有 两 个 以 
上 时 ,窗口 排列 方式 才 有 效 。 

“帮助 "菜单 提供 了 SiteView NNM 的 帮助 文档 。 

(2) 标准 工具 栏 : 它 的 具体 功能 如 下 。 

人 中 返回 到 刚才 的 操作 ; 
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后 以 当前 树叶 或 树枝 为 基准 ,返回 到 上 一 级 的 树枝 或 根 节点 上 ， 

回 | 显示/ 隐藏 控制 台 树 ， 

锥 单 击 可 以 打开 MMC 的 帮助 说 明 ; 

| 辆 显示 /隐藏 操作 窗 格 。 

(3) 控制 台 树 。 

树 是 MMC 窗口 左 侧 窗 格 中 的 层次 结构 , 即 控制 台 树 。 树 显示 SiteView NNM 的 全 
部 功能 模块 。 单 击 标准 工具 栏 上 的 国 , 可 以 显示 或 隐藏 树 。 

树 由 根 节点 、 树 枝 、 树 叶 组 成 。 根 节点 就 是 树 中 唯一 的 一 个 标记 为 “控制 台 根 节点 ”的 
文件 夹 ,树枝 是 SiteView NNM 的 功能 模块 , 单 击 因 展 开 一 个 模块 并 查看 其 内 容 , 单 击 中 
则 关闭 ,树叶 是 不 能 包含 其 他 项 目的 项 目 类 型 , 即 树枝 的 最 底层 ,也 是 功能 模块 的 最 底层 ， 
单 击 树叶 ,系统 会 在 结果 窗 格 中 显示 此 功能 的 列表 、 文 本 或 者 图 形 信息 。 

树 的 快捷 菜单 在 操作 窗 格 中 都 可 以 找到 ,在 本 文中 我 们 对 树 的 快捷 菜单 不 作 病 述 。 

(4) 结果 窗 格 。 

它 是 MMC 的 中 心 窗 格 ,始终 显示 ,不 能 隐藏 。 该 窗 格 显示 控制 台 树 中 当前 所 选 的 功 
能 模块 所 包含 的 对 象 和 内 容 的 有 关 信 息 ,包括 列表 、 表 格 、 图 形 等 。 在 控制 台 树 中 单 击 不 
同 的 功能 模块 时 ,结果 窗 格 中 的 信息 也 会 相应 地 发 生变 化 。 

(5) 操作 窗 格 。 

它 位 于 MMC 的 右 侧 ,根据 控制 台 树 中 和 结果 窗 格 中 当前 所 选 的 模块 列 出 当前 可 用 
的 操作 ,参见 图 5-2 的 操作 窗 格 。 通 过 标准 菜单 中 的 “操作 ”或 右 击 要 执行 操作 的 项 目 , 也 
可 以 访问 这 些 操 作 , 但 上 文 我 们 已 说 明 过 ,不 对 这 两 种 操作 方法 详细 讲述 。 单 击 标准 工具 
栏 上 的 | 辆 ,可 以 显示 或 隐藏 操作 窗 格 。 


5.3 SiteView NNM 拓扑 图 管理 


拓扑 图 管理 主要 通过 动态 搜索 网 络 内 的 所 有 资源 ,全 面 呈 现 网 络 的 拓扑 结构 ,对 网 络 
设备 的 运行 状态 和 资源 状况 进行 实时 管理 。 在 进行 正式 扫描 之 前 ,为 了 得 到 理想 的 、 完 整 
的 网 络 拓 扑 结 果 , 必 须 进 行 扫 描 配 置 。 


5.3.1 扫描 配置 


扫描 配置 包括 算法 配置 共同 体 名 配置 ,设备 信息 库 配 置 。 这 三 项 配置 共同 限制 和 约 
定 了 扫描 的 条 件 , 直 接 影响 到 扫描 的 结果 。 

1. 算法 配置 

算法 配置 包括 扫描 算法 的 选择 ,扫描 参 数 的 设 定 以 及 扫描 范围 的 设置 。 

(1) 扫描 参数 

单 击 “ 拓 扑 图 管理 ”>“ 扫 描 配 置 ">“ 算 法 配置 "一 “扫描 参数 ”命令 ,进行 扫描 参数 设 
置 ,如 图 5-3 所 示 。 
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图 5-3 ”扫描 参数 设置 


搜索 深度 : 用 于 设置 扫描 时 ,允许 的 网 络 层次 深度 ; 

并 行 线程 数 : 表示 扫描 时 可 以 同时 执行 的 最 大 线程 数目 ; 

重 试 次 数 : 扫描 时 ,如 果 访 问 某 台 设 备 未 成 功 ,允许 重 试 的 次 数 ; 

超时 时 间 : 指 扫 描 设 备 时 ,允许 的 最 大 超时 时 间 , 以 秒 为 单位 ; 

用 户 在 扫描 网 络 之 前 可 以 根据 具体 情况 对 这 些 参数 进行 设置 ,设置 完成 后 单 击 “ 保 
存 ” 即 可 。 

(2) 扫描 范围 

单 击 “ 拓 扑 图 管理 ”>“ 扫 描 配 置 "“ 算 法 配置 "一 “扫描 范围 ”命令 ,进行 扫描 范围 设 
置 ,如 图 5-4 所 示 。 


图 5-4 扫描 范围 设置 


扫描 范围 分 两 种 : 一 是 “允许 的 地 址 范围 ”二 是 “排除 的 地 址 范围 ”。“ 人 允许 的 地 址 范 
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120 ” 围 ”内 合适 的 设备 会 被 添加 到 拓扑 图 , “排除 的 地 址 范围 "是 指 不 需要 搜索 的 地 址 范围 ,这 
样 可 以 加 快 拓扑 图 的 生成 速度 ,避免 浪费 系统 资源 。 
单 击 “ 添 加 ”, 可 以 输入 允许 和 排除 的 IP 地 址 范 


围 ,如 图 5-5 所 示 。 了 i 
添加 完成 后 ,如 果 需 要 删除 某 条 地 址 范围 ,在 “ 允 PT 
许 的 地 址 范围 "和 “排除 的 地 址 范围 ”对 话 框 中 选中 需 
要 删除 的 地 址 , 单 击 " 删 除 ” 即 可 实现 。 FEEN 
在 图 5-4 中 单 击 “ 保 存 ”, 即 可 实现 扫描 范围 的 
配置 。 图 5-5 输入 IP 地 址 范围 


2. 共同 体 名 配置 

共同 体 名 相当 于 一 台 设 备 的 密码 ,分 为 被 读 和 被 写 的 密码 ,目的 是 在 网 络 中 起 到 安全 
防御 的 作用 ,一般 由 网 络 管理 员 对 设备 进行 设置 。 共 同体 名 配置 分 为 共同 体 名 默认 设置 
和 指定 设备 共同 体 设置 ,如 图 5-6 所 示 。 


关闭 中 | 保存 包 ，| 0 
图 5-6 共同 体 名 配置 


(1) 共同 体 名 默认 设置 

鉴于 很 多 用 户 经 常 将 网 络 设备 的 共同 体 名 设置 成 相同 的 ,所 以 我 们 提出 默认 共同 体 
名 的 概念 , 即 这 个 共同 体 名 对 所 有 设备 有 效 ,用 户 应 该 将 网 络 中 大 多 数 设备 所 拥有 的 共同 
体 名 设置 成 默认 ,GET 为 读 共 同体 名 ,SET 为 写 共同 体 名 。 

在 图 5-6 中 ,输入 GET 和 SET 的 值 , 即 可 完成 共同 体 名 默认 设置 。 

(2) 指定 设备 共同 体 设置 

对 于 共同 体 名 字 与 默认 值 不 一 样 的 设备 (注意 ,无 论 是 GET 还 是 SET, 只 要 有 一 处 
不 同 ,就 要 特殊 处 理 ) ,必须 进行 指定 设置 。 系 统 提供 了 三 种 指定 方法 : 添加 、 共 同体 名 自 
动 匹配 、 按 范围 指定 ,用 户 可 根据 实际 情况 灵活 选用 .简化 操作 过 程 。 

@ 添加 。 

可 以 添加 单个 设备 的 读 写 共 同体 名 。 在 图 5-6 中 , 单 击 “ 添 加 ”, 打 开 “ 新 增设 备 共 同 
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体 ” 窗 口 ,如 图 5-7 所 示 。 五 到 

输入 指定 设备 的 IP 地 址 . 读 共 同体 名 (GET) 、 写 
共同 体 名 (SET) , 即 可 完成 指定 设备 共同 体 名 设置 的 
单个 添加 。 

@ 共同 体 名 自动 匹配 。 

也 许 用 户 会 碰 到 这 样 的 麻烦 : 网 络 设备 非常 多 ， 
共同 体 名 有 好 几 个 ,但 是 具体 哪 台 设备 匹配 哪个 共同 

图 5-7 “新 增设 备 共同 体 "窗口 。 体 名 却 记 不 清 了 。 如 果 手 工 排查 实在 太 麻烦 了 ,那么 

就 使 用 我 们 提供 的 这 个 工具 一 一 共同 体 名 自动 匹配 。 

在 图 5-6 中 单 击 “ 共 同体 名 自动 匹配 ”, 打 开 “ 共 同体 匹配 ”窗口 ,如 图 5-8 所 示 。 


5-8 “共同 体 匹 配 ?窗口 


它 的 使 用 很 简单 ,首先 在 需要 匹配 的 IP 地 址 范围 中 ,添加 需要 查询 的 设备 IP 地 址 ， 
可 以 是 单个 地 址 ,也 可 以 是 一 个 起 始 段 的 IP 地 址 ,允许 添加 多 条 记录 ;其 次 在 需要 配备 的 
共同 体 名 中 ,添加 所 有 可 能 的 读 共 同体 名 (GET) ;最 后 ,选择 是 否 仅 对 Ping 响应 的 设备 进 
行 共同 体 名 匹配 ; 单 击 “ 开 始 匹 配 ”, 查 找到 的 设备 


IP 地 址 及 其 所 对 应 的 共同 体 名 会 显示 在 列表 中 。 sol ll 
如 图 5-8 所 示 , 单 击 “确定 ”退出 , 即 可 实现 共同 体 名 i 
自动 匹配 。 : fe 

@ 按 范围 指定 。 二 

如 果 某 一 个 IP 段 的 设备 读 写 共同 体 名 相同 , 且 
有 别 于 默认 配置 ,就 可 以 用 此 方法 进行 指定 , 在 
图 5-6 中 单 击 * 按 范围 指定 ", 打 开 对 应 窗口 ,如 Bes 
图 5-9 所 示 。 


图 5-9 按 范围 指定 共同 体 名 
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输入 起 始 了 P、 结 束 IP,\ 读 共同 体 名 、 写 共同 体 名 , 单 击 “ 确 定 ” 退 出 , 即 可 实现 按 IP 范 
围 指定 配置 。 

3. 设备 信息 库 

设备 信息 库 相当 于 设备 的 大 集合 ,包含 了 二 层 交 换 机 三 层 交 换 机 、 路 由 器 、PC 终端 
等 设备 的 信息 ,罗列 了 各 种 设备 的 SysOID 信息 、 厂 商 、 型 号 ,设备 类 型 ;包含 了 目前 主流 、 
非 主 流 厂商 生产 的 绝 大 部 分 设备 , 供 扫描 参考 用 。 用 户 也 可 以 自行 添加 库 中 没有 的 设备 
信息 。 

单 击 “ 设 备 信息 库 ”>3Com 命令 ,打开 设备 信息 库 界 面 ,如 图 5-10 所 示 。 


5-10 设备 信息 库 


添加 厂商 : 单 击 “ 添 加 厂商 ”, 在 弹出 的 添加 厂商 窗口 中 输入 厂商 名 字 , 如 Dell ,确定 
后 ,系统 将 Dell 加 入 设备 信息 库 的 控制 台 树 中 ,并 自动 排序 。 

添加 设备 : 首先 选择 一 个 厂商 ,在 打开 的 设备 信息 库 界 面 中 ,用 户 可 在 最 后 一 行 空 白 
的 单元 格 处 依次 输入 设备 的 信息 ,同时 ,系统 会 自动 添加 一 行 空白 单元 格 ,输入 完成 后 , 单 
击 “ 保 存 ”, 即 实现 了 设备 的 添加 .完成 了 信息 库 的 配置 。 


5.3.2 扫描 全 网 


扫描 配置 完成 后 ,进入 正式 扫描 ;SiteView NNM 扫描 时 ,通过 发 现代 理 来 发 现 设备 。 
发 现代 理 从 一 个 种 子 节点 开始 ,通过 SNMP 和 ICMP(Ping) 两 种 方式 ,采用 高 效率 的 增 量 
算法 ,多 线程 式 地 搜索 整个 网 络 , 自 动 发 现 设备 ,生成 网 络 拓扑 结构 图 ,同时 ,可 以 搜索 到 
指定 IP 地 址 的 子 网 络 ,跨越 公 网 直接 定位 到 下 属 子 网 。 

(1) 单 击 “ 拓 扑 图 管理 ”>“ 扫 描 全 网 ”命令 ,打开 “扫描 等 待 ” 对 话 框 ,如 图 5-11 所 示 。 

扫描 子 网 : 表示 只 扫描 子 网 ,选择 扫描 子 网 ,系统 要 求 输入 子 网 的 地 址 范围 , 即 扫描 
种 子 ,如 图 5-12 所 示 , 输 入 完成 后 ,系统 可 以 自动 发 现 并 拓扑 出 这 些 子 网 内 的 所 有 网 络 
设备 。 
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请 单 击 “ 开 始 ”局 动 扫描 


SiteW ernm 


口 扫 闫 了 网 。 回 增 量 扫 描 人 @ 通用 算法 O 〇 CD 算法 
图 5-11 “扫描 等 待 ” 对 话 框 


增 量 扫描 : 在 已 经 扫描 出 网 络 拓扑 图 的 基础 上 ,如 果 网 内 又 添加 了 新 的 设备 , 则 进行 
此 扫描 ,以 便 在 拓扑 图 上 添加 到 新 增 的 设备 。 

注意 : 首次 扫描 时 不 要 选择 增 量 扫描 。 

扫描 算法 : 分 为 通用 算法 和 CDP 算法 。 其 中 通用 算法 适用 于 所 有 的 设备 扫描 ,CDP 
算法 只 适用 于 Cisco 的 设备 扫描 。 用 户 可 根据 网 内 设备 的 情况 灵活 选择 合适 的 扫描 算 
法 ,以 生成 最 佳 的 拓扑 图 结构 。 

在 图 5-11 中 ,不 选择 “扫描 子 网 ”, 所 进行 的 扫描 就 是 全 网 扫描 。 单 击 “ 开 始 ”, 系统 要 求 
输入 种 子 IP, 如 图 5-13 所 示 指 定 IP 种 子 后 系统 扫描 将 以 该 全 为 中 心 进行 自动 拓扑 发 现 ; 
种 子 节点 可 以 有 和 多 个 且 必 须 支持 SNMP; 如 果 不 指定 也 种 子 , 则 系统 以 本 机 (127. 0.0.1) 为 
IP 种 子 进行 扫描 。 


添加 也 网 地 址 范围 


扫 头 TF 种子 豚 置 


请 给 入 核心 路 由 设备 IT 作为 种 子 
结束 地 址 : 「192.168 .8 .100 使 用 COP 算法 时 请 输入 Cisco 设 备 IP 


请 输入 IF 种 子 - 「152 166 0 ， 245 [>> | [EEC 
起 xlt 直 : 1957 166 6 1 [于 加 |] Lo 
CE 


图 5-12 输入 子 网 地 址 范围 图 5-13 扫描 IP 种 子 设置 


单 击 [有 和 [ 辐 可 以 在 对 话 框 中 进行 IP 种 子 的 添加 、 删 除 。 
开始 扫描 后 ,可 以 通过 “扫描 等 待 ” 对 话 框 查看 整个 扫描 过 程 ,如 图 5-14 所 示 。 
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5-14 “扫描 等 待 ”对 话 框 


注意 : 扫描 过 程 中 ,开始 发 现 子 网 ,发 现 设备 时 可 ppp 
以 取消 扫描 ,到 分 析 线 路 时 不 再 允许 取消 扫描 。 提示 重 灶 基站 图 全 和夫 以 前 的 振 版 ， 重 绽 闪 人 用 
备份 /恢复 拓 站 图 可 以 保留 和 恢复 以 前 的 排版 ， 


(2) 扫描 完毕 后 , 单 击 "关闭 ”, 系 统 自动 开启 拓扑 | wa 
图 排版 功能 ,弹出 * 排 版 选项 "对 话 框 ,如 图 5-15 所 示 。 


系统 提供 了 4 种 排版 风格 ,默认 为 普通 排版 ,用 Ch 
户 可 根据 个 人 喜好 或 者 网 内 设备 拓扑 的 实际 情况 自 人 
行 选择 排版 风格 。 


选 定 风格 ,在 此 以 普通 排版 为 例 , 单 击 * 确 定 ”, 系 
统 在 拓扑 图 结果 窗口 中 显示 出 拓扑 结构 图 ,如 图 5.15 拓扑 图 排 版 格式 
图 5-16 所 示 。 


5-16 ”网 络 拓扑 结构 图 
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5.4 SiteView NNM 设备 管理 


此 模块 用 于 对 全 网 内 的 各 种 设备 进行 统一 的 资源 管理 , 它 记录 了 所 有 的 设备 及 设备 
的 各 种 信息 ,实现 对 设备 性 能 和 运行 状态 的 实时 监控 ,分 析 。 为 便于 对 设备 的 有 序 管理 ， 
系统 采用 分 类 管理 的 办 法 。 系 统 默 认 的 分 类 方式 是 设备 类 型 。 用 户 可 以 根据 网 络 的 特殊 
情况 ,自行 添加 分 类 ;如 可 按 设备 所 在 部 门 . 按 设备 所 在 的 地 理 位 置 等 进行 分 类 。 


5.4.1 设备 列表 


系统 统计 了 设备 的 数量 .设备 的 主要 信息 ,并 按 设 备 的 类 型 进行 了 分 类 排列 以 供用 户 
查看 ,打开 此 表 可 对 全 网 内 的 设备 情况 有 一 个 大 致 的 了 解 。 单 击 “ 设 备 管理 ”一 “全 网 设备 
统计 ”, 打 开 窗口 ,如 图 5-17 所 示 。 它 同时 具有 刷新 .显示 过 滤 和 导出 Excel 三 个 子 功能 。 


十 
引出 新 下 显示 过 小 [到 导出 Excel 


5-17 “设备 列表 ”窗口 


5.4.2 设备 属性 查看 


设备 管理 最 重要 的 一 个 模块 ,可 以 实时 查看 所 有 设备 的 属性 及 各 种 信息 ,监控 设备 性 
能 和 运行 状况 。 以 下 我 们 将 一 一 阐述 , 仅 以 二 层 交 换 机 为 例 。 

单 击 “ 设 备 管理 ”>“ 设 备 类 型 ">“ 二 层 交换 机 ”命令 ,打开 二 层 交换 机 的 设备 列表 窗 
口 ,在 此 窗口 中 ,选中 一 台 设备 , 单 击 菜单 进行 相关 操作 ,如 图 5-18 所 示 。 在 操作 窗 格 可 
以 进行 设备 属性 设置 .设备 定位 `MIB 信息 和 设备 面板 图 查看 等 相关 操作 。 

1. 设备 属性 

单 击 “设备 属性 ”打开 的 窗口 如 图 5-19 所 示 。 设 备 属性 分 为 “一 般 信息 ”和 “端口 信 
息 ” 两 个 TAB 页 ,在 “一 般 信息 ”中 ,用 户 可 以 查看 详细 的 设备 记录 和 信息 ,并 可 以 自 定义 
设备 名 称 和 设备 备注 ;“ 端 口 信息 ”TAB 页 列 出 了 设备 的 所 有 端口 号 ,端口 类 型 .管理 状 
态 ,端口 描述 ,用 户 可 以 实时 了 解 设备 端口 的 工作 和 管理 状态 。 

2. 设备 定位 

此 功能 可 以 帮助 用 户 查 看 当前 设备 所 连接 的 上 级 设备 以 及 连接 的 端口 号 ,提供 设备 


LI25 


126 


计算 机 网 络 管理 与 安全 (第 2 版 ) 


olution 用 版 “G50 节 点 )\ 设 备 管理 \ 设 备 Six 
图 文件 中” 操作) 查看 WD 窗口 如 帮助 四 | = 可 2 
守 沾 | 旬 | 四 | 岛国 


sitevien Solutions 
晤 sitevier mm 3.7 试 F 
由 却 ; 拓扑 图 管理 
日 -党 设备 管理 


设备 端口 实时 分 析 
CPW/NEN 实 时 分 析 
ITB 信 息 
设备 面板 图 

是 查看 设备 省 警 

生肖 警 交 值 设置 


田 国 | 些 测 报表 
由 - 妃 日 


志 
由 惟 ' 系统 设置 


5-18 设备 选 定 


设备 属性 
一 般 信息 | 端口 信息 | 
设备 地 址 : 192. 168.0. 253 
设备 名 称 : 
设备 类 型; 
所 在 子 网 : 
设备 0ID ; 


5-19 “设备 属性 ”窗口 


IP 和 设备 MAC 两 种 类 别 进行 定位 。 如 图 5-20 所 示 , 单 击 “ 定 位 ”按钮 ,系统 即 可 显示 定 
位 结果 。 

二 层 交 换 机 ,三 层 交换 机 、 路 由 器 、 服 务 器 ,这 4 种 类 别 的 设备 还 可 以 定位 到 拓扑 图 
中 , 单 击 在 拓扑 图 中 显示 ,系统 会 自动 返回 拓扑 图 中 ,以 颜色 和 边框 显示 当前 设备 在 拓扑 
图 中 的 位 置 ,及 其 与 其 他 设备 的 连接 情况 。 如 果 该 设备 不 在 拓扑 图 中 ,系统 也 会 给 出 相应 


第 5 章 基于 SNMP 的 网 络 管理 系统 “多 


提示 (注意 : 必须 要 先 定位 成 功 , 才 能 在 拓扑 图 中 显示 ) 。 0 最 


全 ”请 在 下 框 中 输入 设备 I 或 设备 MAC ， 然后 单 击 * 定 位 “ 控 钮 ， 即 可 查找 出 
A 


定位 类 别 : 
定位 设备 : 


定位 结果 


[设备 理 _ 国 | 定位 
[192. 168.0.253 了 在 拓扑 图 中 显示 


192.168.0.253 在 192. 168.0.249 的 7 端口 眼 据 历史 数据 ]| 


图 5-20 设备 定位 


对 于 PC 终端 的 设备 定位 ,系统 有 特殊 的 处 理 。 如 果 主 拓扑 图 设置 为 “显示 PC 终 
端 ”, 那 么 , 当 PC 终端 定位 成 功 后 ,可 以 直接 在 拓扑 图 中 显示 出 来 ;反之 ,PC 终端 将 定位 
到 设备 连接 图 中 ,以 192. 168. 0. 19 为 例 ,如 图 5-21 所 示 和 图 5-22 所 示 。 


9 各 设 和 hc ， 然 订单 击 定位 近 介 ， 即 可 以 查找 出 


定位 类 别 : 
定位 设备 : 


| 设备 IP | 定位 


192, 168.0. 19 | 在 拓扑 图 中 显示 


同 回 司 


6 
192. 168. 0.253 192. 168.0.19 


图 5-22 设备 定位 的 拓扑 图 
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3. MIB 信息 
利用 此 功能 用 户 可 查看 网 管 设备 的 MIB 信息 ,如 图 5-23 所 示 。MIB 信息 提供 6 种 
信息 数据 ,分 别 是 接口 表 信 息 、 路 由 表 信 息 ,转发 表 信息 、ARP 表 信 息 、.CDP 表 信 息 、IP 表 
信息 , 单 击 信息 表 下 拉 框 可 进行 选择 ;MIB 信息 提供 “不 刷新 一 一 600 秒 ” 的 时 间 间 隔 , 随 
时 更 新 数据 ,了 解 其 变化 及 变化 趋势 , 单 击 刷新 间隔 下 拉 框 可 进行 选择 ; 单 击 记 ] 可 选择 
设备 。 
Te 


Tt 址 : 门卫 1 更 S| RH 也: [Ei 了 | 秒 信息 表 : | 品 由 表 信息 过 
更 格力 式 。。 扩 图 下 方式 sy | 


5-23 MIB 信息 


4. 设备 面板 图 

提供 设备 的 真实 面板 图 ,在 面板 图 上 用 户 可 以 很 直观 地 查看 当前 设备 所 有 的 端口 信 
息 。 首 先 , 系 统 设 置 了 不 同 颜色 表示 端口 的 工作 状态 : UP 或 者 DOWN; 其 次 ,将 鼠标 光 
标 停留 在 端口 上 ,可 以 查看 到 更 详细 的 端口 信息 : 端口 索引 、 端 口 描述 、 接 口 索 引 、 端 口 状 
态 、 管 理 状态 ;一 目 了 然 , 如 图 5-24 所 示 。 

右 击 端口 ,打开 快捷 菜单 ,可 以 查看 端口 流量 、 端 口 属性 ,根据 网 络 中 的 具体 环境 和 要 
求 对 端口 进行 打开 /关闭 的 操作 ,如 图 5-25 所 示 。 


外 由 外 外 外 由 外 外 | 


[vp | wp ap ap | || | i | ap | wip | i | | 


图 5-24 设备 面板 图 5-25 ”端口 快捷 菜单 


第 5 章 基于 SNMP 的 网 络 管理 系统 


5.5 SiteView NNM IP 资源 管理 


实现 对 全 网 IP 地 址 进行 有 效 的 监控 和 资源 管理 ,包括 子 网 .IP-MAC 基准 数据 、IP- 
MAC 异动 查询 三 个 模块 。 


5.5.1 子 网 
提供 网 段 内 IP 资源 查询 ,管理 ,网 段 分 析 和 统计 ,自动 探测 各 网 段 的 IP 地 址 使 用 情 
况 。 全 网 扫描 后 ,系统 自动 将 扫描 出 来 的 子 网 结果 显示 在 此 模块 中 ,以 网 段 为 控制 台 树 枝 


的 方式 罗列 出 来 ,每 扫描 一 次 , 子 网 模块 就 更 新 一 次 。 单 击 "IP 资源 管理 ”>“ 子 网 ”, 打 开 
如 图 5-26 所 示 的 窗口 。 


加 文件 日 所作 (4) 查看 WV) 锻 DGwW 帮助 td 

* || 回 |@| 国 

Ee) 
英 拓 并 图 和香 


© i DID) 帮 动 故 测 网 结 环境 运行 状态， 帮助 维护 同 


数 世 服务 : 正常 。 监测 服务 : 正常 。 数 各 流 分 析 服务 : 正 党 


5-26 “ 子 网 列表 ”窗口 


1. 子 网 统计 

系统 将 子 网 内 各 网 段 的 数据 进行 了 完整 的 统计 ,包括 子 网 总 数 、 子 网 IP、. 子 网 掩 码 、 
可 用 IP 总 数 ,可 分 配 IP 数 。 系 统 提 供 列表 和 图 形 两 种 展示 方法 。 

单 击 *IP 资源 管理 ”>“ 子 网 ”>“ 子 网 统计 ”命令 ,打开 “ 子 网 统计 ”对 话 框 ,如 图 5-27 
所 示 。 

2. 网 段 

单 击 “IP 资源 管理 ”>“ 子 网 ”>192. 168. 0.0/24 命令 ,可 以 一 目 了 然 地 查看 此 网 段 内 
的 IP 地址 使 用 情况 .其 详细 信息 包括 IP 地 址 、 设 备 名称 、 设 备 类 型 ,MAC 地 址 ,如 图 5-28 
所 示 。 
由 图 5-28 可 见 , 单 击 IP 地 址 列表 中 的 其 中 一 台 设 备 ,可 以 打开 菜单 或 者 右 击 打开 快 
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喇 5 


可 用 IF 总 数 
255 


52 
1 
6 

25 
2 
5 
1 

37 
2 
1 
2 
1 
1 
本 


5-27 “ 子 网 统计 ”对 话 框 


XHD MFG HRY YOW WW 
* + || 四 |@| 四 


图 5-28 网 段 内 的 卫 信息 


捷 莱 单 ,进行 PP 定位 .IP-MAC 绑 定 、 端 口 连接 设备 统计 等 的 操作 ,在 下 文中 我 们 将 详细 
阐述 。 

3. 网 段 统计 

对 全 网 中 已 用 和 未 用 的 IP 地 址 资源 进行 统计 ,提供 参考 依据 。 根 据 扫描 结果 ,系统 
详细 地 统计 出 了 已 分 配 和 未 分 配 的 IP 地址 .MAC 地 址 、 设 备 名 和 设备 类 型 等 信息 ,对 统 
计 结 果 分 别 以 列表 和 图 形 进行 展示 ,如 图 5-29 所 示 。 


第 5 章 基于 SNMP 的 网 络 管理 系统 .党 


介 Ip 同 入 分 机 情况 统计 本 可 


人 义 
EE 了 RDP: 10.8.0.0 [| “时 [mm | 


ar I mane ] mans ][ eof | ars ][ aaas | ao | ME a . 

Ca 

[aaag | May | many ][ Men ][ Med ][ and |] mang ][ say | ang | 
108064 10.8.0.65 108066 10.8.0.67 10.8.0.68 108069 108070 108071 10.8.072 


5-29 ”IP 网 段 分 配 情 况 统计 


4. 端口 连接 设备 统计 

此 功能 供用 户 查看 和 统计 当前 设备 与 其 他 设备 的 连接 状态 。 设 备 端口 信息 包括 IP 
地 址 .MAC 地址、 端口 描 述 .连接 设备 .连接 端口 描述 .连接 设备 类 型 .端口 管理 状态 、 端 
口 连接 状态 ,如 图 5-30 所 示 。 在 图 中 可 见 ,窗口 的 状态 栏 中 ,系统 详细 列 出 了 当前 设备 所 
连接 的 其 他 设备 的 数据 统计 。 


起 妃 页 | 拓扑 总 图 | 192 166.8 53 CPU WEN 实时 分 析 图 【WIB]10.228. 95.20 接 口 表征 息 | 


二: 站 0 25-5 20 [了] 二 网: [rog 三 信息 表 : | 按 吕 胡 万 息 。 可 


个 表格 方式 图表 方式 


的 10/100BaseTX Po. 0 00 13 OA 01 40 04 关闭 800 0 
的 10/100BaseTX Po. 1950 0 00130A01 4005 工作 关闭  s00 0 
130 1000GbicXd Port. 1950 ”10000..，00 13 0A 01 40 50 工作 “工作 1301581300 211 
64 100BaseTX Port - 1950 ”10000...，00 130A01 40 00 工作 工作 1577060300 

132 1000Gbic Port 2. 1950 0 00 13 0A 01 40 60 工作 关闭 1100 0 
133 1000Gbic Port 2. 1950 0 00130A01 4068 工作 关闭 1100 0 
3 100BaseTX Por 1950 10000..，00130A01 402D 工作 工作 1400 33088d| 
2 10/100BaseTX 1950 0 00130A01 402c 工作 关闭 800 0 
91 10/100Bese] 1950 0 00 13 0A 01 40 28 工作 关闭 800 0 
79 10/100BeseTX Po 1950 0 00130A01 400F 工作 关闭 800 0 
T8 10/100BaseTX 1950 0 00 13 0A 01 40 0F 工作 关闭 800 0 
% 1000Gbic Port 1950 0 00 13 0A 01 40 30 工作 关闭 800 0 
晤 107100BaseTX 1950 0 00130A01 402F 工作 关闭 so0 0 
75 1950 0 00 13 0A 01 40 0B 工作 关 | 800 0 
T4 1950 0 00 13 0A 01 40 0A 工作 关 | 800 0 
TT7 1950 0 00 13 0A 01 40 00 工作 关闭 800 0 
TB 1950 0 00130A01 400C 工作 关闭 800 0 
1 1950 0 00130A01 4007 工作 关闭 so 0 
加 1950 0 00130Aol4006 工作 关闭 ”800 0 
73 1950 0 00 13 0A 01 40 09 工作 关闭 500 0 
T2 1950 0 00 13 0A 01 40 08 工作 关 | 800 0 
82 1950 0 m130A01 40 12 工作 关 | 800 0 
83 1950 0 00130A01 4013 工作 关闭 soo 0 
80 1950 0 00 13 0A 01 40 10 工作 关闭 800 0 
1 1950 0 00 13 0A 01 40 11 工作 关闭 800 0 
全 1950 0 00130A01 4016 工作 关闭 800 0 
= aoen mn 工作 芋 因 ann a 


图 5-30 设备 端口 信息 
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5.5.2 1IP-MAC 基准 数据 


此 模块 相当 于 一 个 参照 物 ,用 户 可 以 导入 最 原始 的 IP-MAC 数据 ,来 作为 最 准确 的 
IP-MAC 数据 ,并 以 此 为 基准 ,探测 网 内 有 没有 违规 IP 地 址 行为 ; 它 为 IP-MAC 绑 定 提 供 


标准 的 数据 ,为 IP-MAC 异动 提供 参考 的 
依据 。 用 户 添加 /删除 网 络 设备 、 添 加 / 删 
除 线路 ,修改 IP 地 址 等 诸如 此 类 的 操作 
之 后 ,系统 会 自动 更 新 IP-MAC 数据 ,用 
户 可 以 随时 重新 导入 最 新 的 IP-MAC 
数据 。 

单 击 “IP 资源 管理 ”>“IP-MAC 基准 
数据 ”, 单 击 菜单 项 ,或 者 打开 快捷 菜单 ， 
可 进行 相关 操作 。 

1. IP-MAC 导入 

第 一 次 使 用 程序 的 时 候 , 用 户 必须 先 
导入 IP-MAC 数据 , 单 击 IP-MAC 导入 ， 
打开 如 图 5-31 所 示 的 对 话 框 。 


器 请 选择 IP 
加 
Dia 


O192. 168.0.249 
192.168.8.2 

口 sz.168.8.3 

口 lsz.168.8.4 

口 1sz les.86 

口 lsz.168.0.9 
口 lsz.168.0.14 
口 se les.o ll0 
O20.0.0s 

口 lsz.168.0.254 
D192.168.0.122 
口 z0.002 


口 违 择 全 部 


请 在 需要 保存 的 I 地 址 前 打上 钩 ， 姑 后 单 击 “ 保 存 ”， 否 测 单 击 “ 职 消 ” 


页 四] [MN 


取消 C) 


图 5-31 IP-MAC 导入 数据 


单 击 “ 刷 新 "可 以 得 到 最 新 的 IP-MAC 数据 。 在 对 话 框 中 多 选 需要 导入 的 数据 ,也 可 
以 选择 全 部 , 单 击 “ 保 存 ”, 系统 提 示 导 入 数据 成 功 ,并 将 数据 列 在 IP-MAC 基准 数据 的 结 


果 窗 口中 ,如 图 5-32 所 示 。 


国文 件 四 的 作 @)， 查看 WD 外 口 四 帮助 中 


所 字 | 折 | 田 | 双 | 名 | 四 


CETEI 
0 079607880 


图 5-32 IP-MAC 导入 结果 


2. IP-MAC 添加 


系统 提供 了 手工 添加 IP-MAC 数据 的 功能 , 单 击 "IP-MAC 添加 ”, 如 图 5-33 所 示 。 


第 5 章 基于 SNVP 的 网 络 管理 系统 “多 


必须 输入 正确 的 格式 ,否则 无 法 保存 。 输 入 完成 后 , 单 击 “ 添 加 ”, 系统 提示 添加 成 功 即 可 。 133 
3. 删除 
即 删除 IP-MAC 地 址 列表 中 的 一 条 或 者 多 条 记录 ,删除 后 如 需 重新 添加 ,可 以 通过 
IP-MAC 导入 实现 。 
4. 编辑 
即 设备 IP、MAC 地 址 的 修改 ,在 IP-MAC 地 址 列表 中 选中 需要 修改 的 记录 , 单 击 “ 编 
辑 ”, 打 开 如 图 5-34 所 示 的 窗口 。 必 须 输入 正确 的 格式 ,否则 无 法 保存 。 


届 IP_EAC 数 据 加 四 加 


添加 IP-MAC 设 备 信息 


设备 IT 地址 : 192. 168.0.19 ] 设备 Tf 地址 : 192 168.0 229 


MAC 地 址 : |00 13 20 SE 11 17 MAC 地 址 : |00 18 24 39 C2 76 


Ge | 


5-33 ”添加 IP-MAC 数据 5-34 ”IP-MAC 修改 


5.5.3 1IP-MAC 异动 查询 


以 IP-MAC 数据 修改 模块 中 的 数据 为 基准 ,系统 探测 到 IP 地 址 和 MAC 地 址 做 过 修 
改 , 自 动 将 数据 搜集 ,以 供用 户 查 询 和 分 析 ,更 好 地 监控 管理 IP 资源 。 当 网 内 IP 地 址 发 
生 冲 突 时 ,用 户 可 以 在 此 窗口 中 查询 到 该 IP 地 址 被 哪些 MAC 地 址 占用 过 。 单 击 “IP 资 
源 管理 ”>“IP-MAC 异动 查询 ”, 打 开 如 图 5-35 所 示 的 窗口 。 


此 视图 中 没有 可 显示 的 项 目 。 


图 5-35 ”IP-MAC 异动 数据 查询 
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数据 比较 多 的 时 候 ,在 图 5-35 中 进行 查找 和 统计 
lt: Fn 0 比较 麻烦 ,系统 提供 了 筛选 的 功能 ,用 户 可 自 定 义 过 滤 

:| 条 件 , 如 图 5-36 所 示 。 

| 输入 IP 地 址 和 MAC 地址 ,也 可 以 只 单独 输入 其 

: [zo 年 0 月 23 日 ” 国 ] 中 一 个 ,选择 起 始终 止 日 期 和 需要 显示 的 记录 数 限制 ， 
系统 提供 了 10,50,100,200,500,1000 这 6 种 选择 , 单 
击 “ 确 定 ”, 系 统 即 统计 出 过 滤 条 件 所 有 的 变动 记录 及 
被 系统 监测 到 的 时 间 。 如 想 返 回 查看 所 有 IP、MAC 
图 5-36 ”查询 筛选 器 地 址 的 异动 记录 , 则 在 此 窗口 中 不 输入 IP 地 址 和 
MAC 地 址 ,只 选择 记录 数 限 制 和 起 止 日 期 即 可 。 


5.6 SiteView NNM 告警 管理 


告警 管理 相当 于 一 个 预警 的 模块 ,用 来 控制 设备 的 使 用 情况 不 超出 我 们 网 络 环境 承 
受 的 范围 ,同时 即时 提出 告警 ,以 使 其 不 产生 无 法 控制 的 局 面 。 它 可 以 设置 设备 的 告警 模 
式 , 通 过 语音 .邮件 .手机 短信 等 载体 传达 告警 内 容 , 从 而 达到 对 设备 进行 实时 监控 的 目 
的 。 它 由 告警 方式 .告警 设置 .告警 记录 三 部 分 组 成 。 


5.6.1 告警 方式 


告警 方式 即 设置 告警 策略 .告警 的 通知 方法 和 需要 通知 的 对 象 , 主要 的 通知 方式 有 : 
软件 界面 .语音 、 邮 件 、 手 机 短信 。 单 击 “ 告 警 管理 ”一 “告警 方式 ”一 “新 建 策略 ”, 打 开 “ 告 
警方 式 ” 窗 口 ,如 图 5-37 所 示 。 


linterfree 


| 用 户 各 


发 尖 邮 件 服务 器 。 发 件 邮 箱 接受 邮件 服务 器 。 接收 部 箱 。 发送 地 条 用 尸 名 。 发 送 邮箱 密码 


图 5-37 “告警 方式 "窗口 


软件 界面 告警 是 系统 默认 的 告警 方式 , 它 将 系统 产生 的 告警 数据 通过 拓扑 图 管理 模 
块 ,用 设备 告警 标注 和 线路 变换 颜色 的 方式 通知 用 户 。 对 于 其 他 警告 形式 ,这 里 以 邮箱 告 
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警 策略 的 设 定 来 说 明 。 在 图 5-37 中 ,输入 策略 名 称 ， 
如 interface, 选 择 “ 是 否 语音 告警 ”, 单 击 “ 新 增 ”, 打 
开 “Email( 短 信和) 设置 ”对 话 框 ,如 图 5-38 所 示 . 根 据 
提示 输入 相关 信息 , 单 击 “ 保 存 ” 退 出 即 可 。 


5.6.2 告警 设置 


告警 设置 用 于 设置 设备 的 告警 闽 值 .告警 策略 、 
设备 信息 采集 频率 、 告 警 延 迟 次 数 等 信息 。 系 统一 共 
提供 了 18 个 监视 项 目 供用 户 进行 网 络 监控 ,它们 分 别 
为 : IP-MAC 绑 定 .Ping 检测 .SNMPPing 检测 CPU 
负载 .内存 占 用 、 总 流量 、 和 人 流量、 出 流量 、 总 帧 流量 、 入 
帧 流量 、 出 帧 流量 、 总 丢 包 率 、 发 送 丢 包 率 ,接收 丢 包 
率 ,总 错 包 率 , 发 送 错 包 率 ,接收 错 包 率 、 总 广播 包 , 如 
图 5-39 所 示 。 

每 个 监视 项 目 都 附 有 说 明 , 用 户 可 根据 自身 需要 


里 以 按 设 备 分 类 、IP-MAC 绑 定 来 说 明 。 


回 Eaail{ 短 信和) 设置 


回 加 允许 发 人知 人 信息 结 用 户 


发 送 邮箱 信息 

发 送 邮 件 服务 器 SNTP) 
[ragonflow. co 

发 送 地 箱 账 号 NO-xxx@dragonflow. com 
huite hodragonflow. co 


0: ragonflow. com 


和 :wldragonflow. com 
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加 :box@dragonflow com 
yingjuan daieiragonflow con 


图 5-38 “Email( 短 信 ) 设 置 ?对 话 框 

分 别 进行 设置 。 除 IP-MAC 绑 定 作为 一 种 特殊 的 分 类 方法 之 外 ,其 余 17 个 监视 项 目 均 可 以 
通过 按 设备 分 类 、 按 指标 分 类 快捷 方式 来 设置 , 故 这 里 重点 介绍 这 4 种 分 类 方法 。 可 以 一 
个 项 目 一 个 项 目地 设置 告警 ,也 可 以 使 用 其 中 一 种 分 类 方法 将 18 个 项 目 全 部 设置 完成 ,这 


ja 本 


.02 CitimE) Ch 加 


大 攻 区 设 置 内 导 
大 


192. 164.0. 254 (iday) ~ 
ER 

x me 
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图 5-39 告警 设置 内 容 
1. 按 设备 分 类 


单 击 “告警 管理 ”告警 设置 ”一 
开 * 告 警 设置 窗口 .如 图 5-40 所 示 。 


“监视 项 目 ”>“ 总 流量 ”一 


“新 建 告警 设置 "命令 , 打 
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136 过 | 
| 反 指 标 分 类 | 人 建设 秆 | Tree 定 | 
| 设备 分 类 设 村 和 项 
钻 口 滞 三 是 交 执 机 监视 项 : [cuR 素 。” 避 ”省 区 方式 : [es 可 | 8: 5 2 
外 口 ,一 三 屋 交 执 机 
口 .= 设置 
十 日 时 入 LE RE HE x oR 和。 | 
Oe 厂 升 妇 省 井 设置 
dt 次 寅 规 当 敬 。。 当 笑 方 式 : | 一 一 


时 院 邓 ) | 清空 中) 
四 | m0 | mw | 
5-40 “告警 设置 "窗口 


窗口 的 设备 分 类 树 中 , 列 出 了 网 内 所 有 设备 的 IP 地 址 ,这 些 数据 是 从 设备 管理 模块 
中 取 到 的 , 随 设备 管理 的 数据 更 改 而 更 新 。 

监视 项 :“ 监 视 项 "下 拉 框 中 , 列 出 了 除 IP-MAC 绑 定 之 外 的 17 个 项 目 。 

设备 分 类 : 可 以 全 选 ,也 可 以 一 一 勾 选 。 

指定 端口 : 当 对 三 层 交换 机 ,二 层 交 换 机 、 路 由 器 .服务 器 这 些 设备 进行 总 流量 、 入 流 
量 、 出 流量 、 总 帧 流量 、 信 帧 流量 、 出 帧 流量 、 总 丢 包 率 , 发 送 丢 包 率 ,接收 丢 包 率 、 总 错 包 
率 、 发 送 错 包 率 ,接收 错 包 率 ,总 广播 包 进 行 监视 时 ,指定 端口 的 下 拉 框 才能 进行 选择 。 

刷新 端口 数据 : 在 指定 端口 之 前 ,必须 先 得 到 最 新 的 设备 端口 数据 , 单 击 * 刷 新 端口 数 
据 " 可 以 实现 。 端 口 的 刷新 可 以 按 设备 . 子 网 和 IP 地 址 列表 三 种 方式 进行 ,选择 需要 刷新 的 

设备 ,如 图 5-41 所 示 , 单 击 * 确 定 " 即 可 。 

2 | 告警 方式 : 单 击 下 拉 框 进行 选择 , 单 击 [EJ], 系统 反 

ss | 回 新 建 告警 方式 窗口 ,用 户 可 添加 新 的 告警 方式 。 

日 于 | 采集 频率 : 以 分 钟 为 单位 ,用 户 可 自 定义 每 过 多 少 
分 钟 采集 一 次 告警 数据 并 通知 用 户 。 

阔 值 : 设置 告警 的 阔 值 条 件 , 用 户 可 视 网 络 环境 自 
定义 。 

“添加 ": 每 定义 完 一 个 监视 项 目的 告警 , 单 击 “ 添 
加 ”, 系 统 就 将 数据 添加 到 临时 设备 结果 框 中 ;用 户 可 以 
把 所 有 的 监视 项 目 全 部 设置 告警 ;也 可 以 对 同一 监视 项 
目 指定 不 同 的 告警 方式 ,搭配 不 同 的 阔 值 ;总 而 言 之 ,可 
以 组 成 任意 一 个 搭配 一 一 添加 。 

“删除 /全 部 删除 ”: 对 临时 设置 结果 的 数据 实现 单 
个 删除 和 全 部 删除 。 
败局 开业 宙 和 设置 完成 后 , 单 击 “保存 "退出 即 可 。 
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2. IP-MAC 绑 定 IE 
有 IP 地 址 行为 的 监控 和 自 EN 并 与 IP 资源 管理 模块 

合 , 共 享 数据 ,系统 将 IP-MAC 绑 定 单独 作为 一 个 告警 设置 项 目 ,如 图 5-42 所 示 。 
| 


按 设 备 分 类 | 按 指 标 分 类 | 快 旦 设置 IPse 网 定 | 
- 竺 堵 IPhac 列 表 C 项 ) 


lsc 地 址 
00 Oc 29 30 56 的 


ooc 79 60 78 80 


5-42 ”IP-MAC 绑 定 的 告警 设置 
) 若 要 添加 绑 定 项 , 则 单 击 “添加 绑 定 项 *, 打 开 窗 口 ,如 图 5-43 所 示 。 


全 迁 择 IP-MAC 绢 定 告 璧 项 


NAC 地 址 
192. 168. 3. 254 00 00 SE 00 01 02 
回 192. 168.3.250 00 OF E2 42 OF Sc 
回 192.168.0.15 oo 11 41 19 F428 
回 192. 168.0.47 
回 192.168.8.3 
回 192. 168.0.229 00 18 24 39 C2 76 


一 


回 192.168.0.122 00 13 20 BF 61 29 
回 192.168.0.91 00 14 78 4E 01 43 
回 20.0.0.254 00 05 5E 63 SC 20 
回 192. 168.0.159 001731EBBM 灶 
回 192.168.0.19 00 11 11 45 57 了 
回 192.168.0.247 00 17 31 本 8 好 
回 192.168.0.246 00 13 20 34 站 1 
回 192.168.0.6 00 13 20 TD CATD 
回 192.168.8.6 
回 192.168.0.155 
回 192.168.0.254 
回 192.168.0.149 
ooo to 


图 5-43 选择 IP-MAC 绑 定 
勾 选 IP-MAC 地 址 ,也 可 以 单 击 “ 全 选 ”, 单 击 “ 确 定 ” 即 添加 成 功 。 此 窗口 的 数据 和 
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IP-MAC 基准 数据 模块 中 的 数据 是 共享 的 同步 的 。 所 以 ,执行 这 个 操作 之 前 ,必须 先 在 
IP-MAC 基准 数据 模块 中 导入 数据 方 可 。 

(2) 在 图 5-42 中 ,选择 一 条 IP 地 址 , 单 击 “删除 ?可 以 实现 删除 。 输 入 告警 方式 .采集 
频率 , 单 击 “ 保 存 ” 即 可 实现 IP-MAC 绑 定 告警 设置 。 


5.6.3 告警 记录 


对 已 产生 的 历史 告警 和 当前 告警 进行 全 面 详 细 的 记录 ,以 供 查询 和 备份 , 它 支持 查询 
设备 告警 的 当前 记录 和 历史 记录 。 

1. 当前 告警 

和 告警 设置 一 样 ,当前 告警 也 分 成 18 个 监视 项 目 ,与 告警 设置 一 一 相对 应 。 从 告警 
设置 成 功 时 开始 ,系统 记录 了 100 条 实时 告警 的 详细 信息 ,包括 告警 类 型 .关联 设备 .发生 
时 间 告警 描述 ,每 隔 15 秒 刷新 一 次 ,提取 到 最 新 的 告警 信息 。 

单 击 “ 告 警 管理 ”>“ 告 警 记录 ”一 “当前 告警 ”一 “监视 项 目 ” 命 令 , 以 总 流量 为 例 ,如 
图 5-44 所 示 。 


TREE 


EE | zl 下 


有 
间 二 次 流 益 
a | mh 


1 188 0 251 Bitevianarg 


个 SrLer 


[| d= 划 


5-44 总 流量 的 当前 警告 记录 


2. 历史 告警 

系统 对 所 有 的 告警 数据 作 了 全 盘 记 录 ,并 提供 导出 功能 ,支持 用 户 进行 统计 分 析 和 备 
份 。 单 击 “ 告 警 管理 ”>“ 告 警 记 录 ” 一 “历史 告警 ”命令 ,将 展示 全 部 历史 警告 ,如 图 5-45 
所 示 。 历 史 告 警 数据 的 保存 期 限 与 系统 设置 有 关 , 最 长 可 以 保存 5 年 ,默认 为 保存 3 天 。 
用 户 需要 更 改 保存 期 限 ,必须 先 到 系统 设置 模块 进行 历史 数据 管理 设置 。 

单 击 右 侧 操 作 栏 的 “查询 ”按钮 ,通过 选择 起 始 时 间 结束 时 间 监视 项 目 . 监 视 设备 等 
信息 ,如 图 5-46 所 示 ,系统 将 符合 查询 条 件 的 数据 在 查询 结果 对 话 框 中 罗列 出 来 。 
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Rosey : |2014-11-22 18:47:58 5| 
pi: 2014-t1-23 18:47:58 |] 


5-46 ”历史 记录 查询 条 件 设置 


ST 冯 


teView NNM 监测 报表 


监测 报表 模块 全 盘 记录 了 网 络 情况 ,可 进行 相关 的 统计 分 析 ; 提 供 多 种 灵活 的 查询 条 
件 生成 各 式 报 表 输 出 ,并 提供 了 直观 简明 的 图 表 报 告 ,还 可 导出 成 Excel 等 文件 格式 , 方 


便 打 印 和 保存 。 
为 节约 查询 时 间 ,在 不 退 


1 SiteView NNM 的 情况 下 ,报表 的 查询 结果 都 不 会 随 操 
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140 作 模 块 的 更 改 而 丢失 。 比 如 由 正在 查询 的 报表 模块 转移 到 告警 模块 执行 了 相关 操作 ,再 


返回 该 报表 后 ,可 以 看 见 , 之 前 查询 的 结果 仍 在 。 
5.7.1 设备 端口 状态 实时 分 析 


它 可 以 对 设备 的 端口 .CPU 内存 使 用 率 、 链 路 的 通 断 流量 等 实时 信息 和 运行 状态 
全 盘 记 录 ,并 输出 成 直观 简明 的 图 表 和 Excel 文档 。 设 备 端口 状态 实时 分 析 包 括 设备 端 
口 状态 实时 分 析 和 CPU&MEM 实时 分 析 两 部 分 内 容 。 

1. 设备 端口 状态 实时 分 析 

单 击 “ 监 测报 表 ” 一 “设备 端口 状态 实时 分 析 ”>“ 设 备 端 口 状 态 实时 分 析 ” 命 令 。 

它 可 以 读 取 可 网 管 设备 的 端口 相关 信息 、 流 量 值 ,并 提供 对 单个 端口 的 流量 状况 图 形 
分 析 , 对 所 有 端口 进行 流量 分 析 对 比 。 这 里 以 端口 分 析 、 多 端口 对 比分 析 为 例 说 明 。 

(1) 端口 分 析 

图 5-47 中 ,在 端口 列表 中 ,双击 选择 处 于 工作 状态 中 的 端口 ,系统 给 出 了 当前 查询 端 
口 的 文字 信息 ,以 图 表 的 方式 列 出 了 该 端口 的 各 流量 值 , 包 括 总 流量 .发送 接收 流量 .出 入 
帧 流量 .出 入 广播 量 。 
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图 5-47 端口 分 析 


(2) 多 端口 对 比分 析 

以 流量 为 基准 , 取 多 个 端口 的 同一 个 流量 进行 对 比 和 分 析 。 如 图 5-48 所 示 ,在 “对 比 
分 析 项 ”下 拉 框 中 选择 监测 项 目 ,在 端口 列表 中 选择 处 于 工作 状态 中 的 端口 ,每 增加 一 个 
端口 就 自动 增加 一 张 图 表 。 

2. CPU&MEM 实时 分 析 

单 击 “ 监 测报 表 ” 盖 设备 端口 状态 实时 分 析 ” 一 “CPU& MEM 实时 分 析 ” 命 令 。 
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图 5-48 多 端口 对 比分 析 
它 可 以 查看 和 分 析 可 网 管 设 备 的 实时 CPU 利用 率 以 及 内 存 占用 率 , 以 图 文 结合 的 方式 


表现 出 来 ,并 随时 刷新 读 取 最 新 的 数据 。 如 图 5-49 所 示 ,选择 刷 新 时 间 间 隔 , 单 击 [F 了 选择 
设备 地 址 ,系统 自动 开始 监测 ,并 且 一 直 处 于 监测 的 状态 ,直到 用 户 单 击 “ 停 止 " 按 钮 为 止 。 


CPUS MEM 实时 分 析 (X) 192 1080254 
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CPW。 语 套 : 100%。 平凡: 汪 E% 。 轨 本 全 0% 
NEM 大 大 组 47% 在 均 低 :1220% 。 当 有 组 41% 


5-49 CPU&MEM 实时 分 析 
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142 除 折线 图 之 外 ,系统 还 列 出 了 当前 设备 CPU&MEM 的 最 大 值 、 平 均值 、 当 前 值 以 及 
MEM 总 大 小 和 已 使 用 的 数值 。 单 击 “ 切 换 到 罗盘 图 ”. 用 户 可 以 使 用 一 种 更 易 理 解 、 更 为 
真实 的 方式 查看 。 


5.7.2 ”历史 监测 查询 


历史 监测 查询 能 够 根据 用 户 的 需要 对 设备 端口 CPU、 内 存 等 的 数据 、 流 量 及 性 能 指 
标 进行 历史 数据 采集 ,体现 其 变化 规律 ,并 根据 分 类 予以 统计 分 析 。 

1. 端口 历史 数据 查询 

单 击 “ 监 测报 表 ” 一 “历史 监测 查询 ”>“ 端 口 历史 数据 查询 ”命令 ,如 图 5-50 所 示 。 与 
设备 端口 状态 实时 分 析 相 对 应 , 它 采 集 的 是 设备 端口 的 历史 流量 数据 。 系 统 把 历史 流量 
数据 分 成 五 个 监测 类 型 组 ,作为 查询 条 件 之 一 ,分 别 是 : 发 送 /接收 流量 、 出 帧 /入 帧 流量 、 
发 送 / 接 收 丢 包 率 ,发 送 /接收 错 包 率 、 总 流量 /总 帧 流量 ;以 设 定 的 查询 时 间 为 基准 ,可 查 
询 本 日 、 本 周 、 本 月 的 历史 数据 。 所 有 的 查询 条 件 设 定好 之 后 , 单 击 " 查 询 ” 即 可 ,如 需 保存 
电子 版 本 ,可 单 击 “ 导 出 ”实现 。 


E 
5 
E: [EEEEEEE S| 
上 EE 本 50107 3655 到 可 要 加 
2 | 6 8 村 ”风机 月 所 杉 年 扩 杰 | 和 了 7 式 国家] | Su | 
i 
市 人 机 天 型: 192 169.0.25112_ FosihemeQn2 
四 T 
Sonnst | Pees 习 ;并 
二 万 上 者 查 有 访 吕 列表 : He 
4 [于 示 生 亲 中 于 下 工作 大] 
0 
本 Se . 培 
ee 
Lo st 加 R00 1090 0D 1200 30 
站 六 a 下 wxe Brexe Dera 
口 。 。 rearoemeom 
口 
口 
[TT 
口 102 168.0.2514 FanEhemedm 
口 
口 
EE 
口 
Em 
D's 
Du 
sl 


图 5-50 ”端口 历史 数据 查询 


2. CPU&MEM 历史 数据 查询 

单 击 “ 监 测报 表 ” 一 “历史 监测 查询 ”>“CPU&-MEM 历史 数据 查询 ”命令 。 

如 图 5-51 所 示 , 与 CPU&MEM 实时 分 析 相 对 应 , 它 采集 的 是 CPU&MEM 的 历史 
监测 数据 ,用 表格 和 图 表 两 种 方式 形象 直观 的 输出 ,以 设 定 的 查询 时 间 为 基准 ,可 查询 本 
日 .本 周 、 本 月 的 历史 数据 。 所 有 的 查询 条 件 设 定好 之 后 , 单 击 “ 查 询 ” 即 可 ,如 需 保存 电子 
版 本 ,在 表格 方式 中 ,可 单 击 * 导 出 "得 以 实现 。 
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5-51 CPU&MEM 历史 数据 查询 


5.7.3 网 络 设备 监测 查询 


它 可 以 监测 设备 的 端口 流量 值 ` 设 备 运行 的 状况 和 性 能 数据 。 查 询 结果 之 前 ,用 户 必 
须 先 设 定 查询 的 条 件 。 单 击 * 监 测报 表 ” 一 “网 络 设备 监测 查询 "命令, 出现 如 图 5-52 所 示 


界面 , 它 还 提供 查询 结果 的 图 形 显示 方式 ,如 图 5-53 所 示 。 
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图 5-53 网 络 设备 监测 查询 图 形 显示 方式 


在 操作 栏 单 击 “ 筛 选 ?按钮 ,打开 筛选 器 ,如 图 5-54 界面 。 通 过 查询 参数 的 设 定 , 即 可 
查询 具体 设备 监测 报表 。 


图 5-54 查询 筛选 器 


5.7.4 设备 性 能 分 析 报 表 

它 主要 提供 对 某 段 时 间 内 网 内 设备 各 端口 流量 和 性 能 的 查询 、 统 计 , 用 户 可 以 查看 到 
这 些 数据 的 最 大 值 和 平均 值 。 查 询 结果 之 前 ,用 户 必 须 先 设 定 查询 条 件 : 单 击 “ 监 测报 
表 ” 一 “设备 性 能 分 析 报 表 ” 一 “筛选 "命令 ,打开 筛选 器 ,如 图 5-55 所 示 。 


第 5 章 基于 SNMP 的 网 络 管理 系统 2 上 4 
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回 设备 中 文 名 称 


口 出 流量 

口 出 帧 流量 
口 发 法 错 包 率 
口 改 尖 寺 包 率 


5-55 ”筛选 器 (1) 


系统 罗列 了 19 个 监测 项 目 。 在 这 些 报表 字段 中 , 除 “ 节 点 名 称 ” 和 “设备 中 文 名 称 ” 之 
外 ,选择 “CPU 负载" 和“ 内存 占 用 ”, 其 他 的 会 变 成 灰色 ,不 可 选 , 反 之 亦 然 ;" 设 备 IP”“ 端 
口号 "“ 端 口 描述 ”是 系统 默认 的 报表 字段 .在 这 个 窗口 中 没有 列 出 来 ,表格 生成 后 ,会 自 
动 显示 在 报表 中 。 

报表 字段 设 定好 之 后 , 单 击 “ 确 定 ” 按 钮 ,返回 到 设备 性 能 分 析 报 表 的 结果 窗口 中 , 选 
择 设备 、 起 始 和 结束 的 时 间 、 报 表格 式 , 单 击 “ 查 询 ”, 系 统 输出 报表 ,如 图 5-56 所 示 , 用 户 
可 单 击 * 导 出 ”, 另 存 为 Excel 文档 。 


(sa 节点 ) 曲 禹 服 表 \ 设 备 性 二分 析 基 表 ] 


图 5-56 设备 性 能 分 析 报表 的 结果 


DA 


计算 机 网 络 管理 与 安全 (第 2 版 ) 


在 图 5-56 中 , 单 击 * 图 形 方式 ,系统 可 将 查询 结果 输出 成 图 形 , 如 图 5-57 所 示 。 


正式 站 50 节点)\ 攻 各 报表 \ 直 各 性 全 分 析 基 表 ] 


5-57 设备 性 能 分 析 报表 的 结果 图 


5.7.5 网 络 整体 性 能 分 析 


它 可 实现 对 网 内 所 有 设备 的 性 能 进行 查询 和 统计 。 在 报表 中 ,用 户 可 以 查看 到 某 时 
间 段 内 ,网 内 所 有 设备 的 所 有 端口 ,其 监测 项 目的 最 大 值 和 平均 值 , 可 选 多 个 监测 项 目 同 
时 查询 ,用 户 可 以 据 此 进行 网 内 设备 性 能 分 
析 。 查 询 结果 之 前 ,必须 先 设 定 查 询 条 件 , 单 


击 “监测 报表 ” “网 络 整体 性 能 分 析 ” 一 “第 | ss === 


回 总 流量 。 器] 接收 流量 


口 改 类 流量 


选 " 命 令 , 打 开 筛 选 器 ,如 图 5-58 所 示 。 站 本 
系统 提供 了 12 个 监测 项 目 ,可 多 选 ;但 口 总 流量 口 接收 二 流量 。 癌 发 送 由 流量 
选择 “内 存 占用 ”和 “CPU 负荷 > 时 ,其 他 的 监 BE 


测 项 目 会 变 成 灰色 ,不 可 选 , 反 之 亦 然 ;选择 口内 存 占用 口 cmuma 葵 

起 始 和 结束 时 间 之 后 , 单 击 “确定 ”按钮 .系统 请 注意 ， 沁 择 的 查询 条 件 越 多 ， 革 要 计算 的 时 间 越 长 。 
输出 监测 报表 ,如 图 5-59 所 示 ,用 户 可 单 击 生 
成 报表 文件 另存 为 Excel 文档 。 


5.7.6 设备 故障 趋势 分 析 


统计 当前 设备 在 某 时 间 段 内 , 除 IP-MAC 
绑 定之 外 其 他 17 个 告警 项 目的 告警 次 数 ,并 | | 
以 表格 、 饼 图 ,折线 图 的 方式 展示 各 告警 项 目 5-58 第 选 器 (2) 
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图 5-59 整体 性 能 监测 报表 
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和 全 部 告警 次 数 及 其 所 占 的 百分比 ,为 用 户 精 确 管理 网 内 设备 提供 重要 依据 。 它 与 告警 
管理 模块 相关 ,必须 要 先 设置 告警 ,系统 产生 告警 数据 后 ,报表 才能 做 出 统计 和 分 析 。 
图 5-60 和 图 5-61 分 别 对 设备 的 故障 趋势 做 了 报表 和 折线 图 的 表示 。 
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图 5-60 故障 趋势 分 析 表 
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5-61 故障 趋势 分 析 图 


A 木 章 小 结 


本 章 介绍 了 基于 SNMP 协议 的 网 络 管理 系统 概念 、 构 成 要 素 、 功 能 和 常见 的 软件 产 
品 。 重 点 介绍 了 SiteView NNM 网 络 管理 系统 的 功能 。 要 求 熟练 掌握 SiteView NNM 
的 拓扑 图 管理 ,设备 管理 \IP 资源 管理 .警告 管理 ,检测 报表 管理 设置 要 点 与 操作 过 程 , 通 
过 SiteView NNM 反映 的 数据 了 解 网 络 的 运行 情况 。 同 时 通过 对 SiteView NNM 网 络 
管理 系统 的 使 用 .对 其 他 网 管 软 件 有 一 定 的 理解 ,以 期 达到 触 类 旁 通 的 目的 。 


4 竹本 章 习 题 


. 简 述 基于 SNMP 协议 的 网 络 管理 组 成 要 素 ,布局 结构 。 

. 简 述 SiteView NNM 网 络 管理 系统 常见 的 管理 功能 。 

简 述 SiteView NNM 控制 台 的 个 构成 部 分 的 主要 作用 。 

. 在 实验 环境 中 安装 SiteView NNM, 并 用 它 进行 网 络 管理 。 

谈 一 下 基于 SNMP 协议 的 网 络 管理 软件 与 你 用 过 的 其 他 网 络 软件 的 不 同 之 处 。 


Tw DL- 


【本 章 重点 】 
掌握 “网 路 岗 ” 管 理 软件 的 安装 、 设 置 、 管 理 、 使 用 方法 与 技巧 。 了 解 网 络 监控 的 基本 
内 容 、 网 络 监 控 软 件 的 体系 结构 及 常见 的 网 络 通 信 的 技术 特征 。 


网 路 岗 是 目前 国内 领先 的 上 网 监管 软件 ,只 需要 通过 一 台 计 算 机 即 可 监控 整个 网 络 
的 网 络 活动 ,是 政府 机 构 \ 企 事业 单位 和 校园 、 网 吧 上 网 的 必 备 管理 软件 之 一 。 考 虑 到 成 
本 、 网 络 规模 、 使 用 要 求 , 对 于 一 般 的 网 络 管理 员 来 说 ,网 路 岗 软 件 功能 比较 丰富 、 操 作 比 
较 方便 ,在 一 般 计算 机 网 络 中 的 应 用 非常 广泛 ,因此 本 书 选择 介绍 网 路 岗 软件 。 

网 路 岗 软 件 界面 友好 ,操作 简单 ,同时 也 具有 很 强 的 实用 性 ,对 复杂 的 网 络 结构 有 很 
强 的 解决 能 力 ,适合 绝 大 多 数 代 理 软 件 、 防 火 墙 、 路 由 器 等 上 网 模式 的 网 络 。 自 2002 年 推 
出 第 一 代 产 品 以 来 ,通过 不 断 地 完善 与 改进 ,网 路 岗 软件 不 断 升 级 ,在 产品 监控 功能 不 断 
增强 的 同时 ,产品 的 稳定 性 也 得 到 了 大 幅度 地 提高 ,并 被 广泛 的 应 用 。 


6.1 网 路 岗 软 件 的 安装 与 验证 


6.1.1 软件 的 安装 

1. 系统 要 求 

。 操作 系统 : Windows XP/2000/2003/7。 

。 CPU: Pentium 4 或 赛 扬 2.0GHz 以 上 。 

。 硬盘 空间 : 建议 硬盘 空闲 空间 不 低 于 10GB。 如 果 监 控 100 台 机 器 的 邮件 ,建议 
采用 30GB 以 上 的 硬盘 。 

通常 情况 下 ,监控 机 器 越 多 ,网 络 流量 越 大 ,需要 的 配置 就 越 高 。 

2. 安装 步骤 

。 打开 安装 光盘 . 按 默认 选项 操作 即 可 成 功 安装 。 

。 安装 完成 ,运行 网 路 岗 软 件 出 现 的 界面 如 图 6-1 所 示 。 

3. 软件 配置 

(1) 绑 定 网 卡 ( 如 图 6-2 所 示 ) 。 

绑 定 网 卡 就 是 选择 从 哪 块 网 卡 抓 信息 包 。 
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面市 maG 


192. 168, 0, 102 

1 Network Adsptor [0. 0.0.0] 
厂 #0 Network Adaptar [10.0.0.3] 
[5 #3 Wetwork Adapter [192.168.0.102] 
CE #4 Network Adwpter fl92. 168.91.1] 
#5 Network Mapter (192 168. 169.1) 


1 .和 帝 路 败 按 。 注 : 端口 读 像 /ab 等 


6-2” 绑 定 网 卡 


绑 定 网 卡 的 注意 事项 
。 若 安装 网 路 岗 的 计算 机 有 多 块 网 卡 , 则 选择 时 要 谨慎 , 选 错 网 卡 , 网 路 岗 不 但 监视 
不 了 任何 信息 ,同时 也 不 能 对 目标 机 器 进行 任何 控制 。 

。 选择 网 卡 时 ,应 选择 内 网 段 的 网 卡 ,而 不 能 选择 接 人 Internet 的 网 卡 。 

提示 : 默认 情况 下 ,系统 获取 通信 数据 包 的 网 卡 和 发 送 封 堵 包 的 网 卡 是 同一 块 ,但 可 
以 设置 信息 过 滤 网 卡 , 以 便 系统 通过 另外 一 块 网 卡 来 发 送 封 堵 包 以 控制 目标 机 器 。 

有 一 种 情况 ,必须 启用 信息 过 滤 专 用 网 卡 。 设 置 镜像 端口 来 实现 对 数据 包 监视 后 , 却 
不 能 和 局 域 网 其 他 机 器 进行 通信 (假定 该 机 器 IP/ 网 关 配 置 正确 ) ,也 就 是 说 ,所 设置 的 镜 
像 端 口 只 能 接收 信息 包 , 而 不 能 发 送 数 据 包 , 镜 像 端 口 是 单 向 的 。 针 对 这 类 情况 ,建议 再 
添 一 块 网 卡 ,作为 网 路 岗 的 信息 过 滤 专 用 网 卡 。 

在 图 6-2 中 单 击 “ 过 滤 网 卡 ”, 则 在 如 图 6-3 所 示 的 “高 级 设置 ”对话 框 中 配置 信息 过 滤 专 用 
网 卡 。 配 置 时 ,信息 过 滤 网 卡 .镜像 端口 和 被 镜像 端口 必须 在 同一 交换 机 的 同一 VLAN 中 。 

(2) 查看 监控 效果 。 

测试 监控 效果 时 , 先 观 察 能 否 实时 监控 到 目标 机 器 上 网 页 面 的 情况 .如 图 6-4 所 示 。 

(3) 配置 内 部 网 段 。 

进入 “网 络 定义 ”栏目 ,设置 起 始 IP 及 结束 IP。 这 里 需要 提醒 的 是 : 只 有 当 需 要 监控 
多 个 子 网 时 , 才 需 要 手动 配置 内 部 IP 范围 ,如 图 6-5 所 示 。 
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广 过 下 专用 网 卡 蚁 省 情 品 下 为 空 > ) 


#2 Network Adapter [192.168.1.100] 


后 台 服 务 
多 所 站 电 
EE 


起 始 IP 
10.0.0.0 
172.16.0.0 
192.168.0.0 


[ETT Sd 
图 6-5 网 络 定义 中 的 内 部 网 IP 设置 
如 果 采 用 非 透明 代理 服务 器 软件 实现 多 机 共享 上 网 ,那么 必须 在 该 处 输入 代理 服务 


器 的 IP 地址 (内 网 IP 范畴 )。 另 外 ,如 果 网 内 有 邮件 服务 器 等 内 网 资源 ,也 需要 在 上 面 输 
入 其 让 ,才能 监控 到 内 网 机 器 访问 内 网 资源 的 情况 ,如 图 6-6 所 示 。 


本 地 址 据 述 
192. 168.1.1 代理 服务 器 


认 人 sn ste wa 


如 何 裤 认 一 苯 代 理 软件 为 “地 透明 代理 服务 器 软件 ”了 ] 


6-6” 非 透明 代理 服务 器 设置 


Woy 
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Li 定义 因特网 出 口 IP 的 设置 ,一 般 为 被 监控 机 器 上 网 的 网 关 IP( 或 代理 IP), 属 于 内 部 
网 IP 范畴 ,只 针对 单 网 段 有 效果 。 如 果 添 加 IP 时 ,能 正确 输入 出 口 IP 所 对 应 的 MAC 
地 址 ,系统 会 在 很 短 的 时 间 内 自动 恢复 被 封 机 器 的 上 网 通道 ,如 图 6-7 所 示 。 


ri em is 
6-7 因特网 出 口 IP 设 置 


6.1.2 验证 安装 是 否 正确 

1. 检查 目标 机 器 的 监控 状态 

选择 “常规 ”~* 首 页 ”命令 ,监控 模式 选择 “基于 网 卡 MAC”, 先 看 看 是 否 有 机 器 信 
息 , 如 果 没 有 ,就 用 “电脑 列表 ”功能 查看 每 台 机 器 , 单 击 某 台 机 器 前 的 小 图 标 ,该 机 器 的 状 
态 可 循环 改变 ,如 图 6-8 所 示 。 在 “电脑 清单 "窗口 下 可 单 击 “ 搜 索 局 域 网 内 的 电脑 ”, 也 可 


以 搜索 局 域 网 内 的 电脑 。 
当前 加 192.1681* 
时 5 二 v@ 19216811 [IP.192168.11][IMAC:388345771F48] 
国 类 太 © 192168.1100 [IP192168.1.100][IMACE4D53DB512EC1 
闻 IP 流 量 
区 六 口 流量 图 


6-8 目标 机 器 的 监控 状况 


其 中 ,x 表示 该 机 器 被 监控 , 夺 表 示 该 机 器 不 被 监控 ,X 表示 该 机 器 不 被 监控 但 也 
不 允许 上 网 。 

2. 检查 被 监控 机 器 的 上 网 情况 

选择 “文件 ”>“ 现 场 观察 "命令 ,在 确保 被 测试 的 机 器 处 于 'Y 状态 后 ,让 该 机 器 上 网 ,如 
www. google. com 等 ,并 留意 “现场 观察 "窗口 中 是 否 有 对 应 的 网 络 带 宽 流 量 信 息 ; 如 果 该 窗 
口中 能 正确 显示 目标 机 器 的 上 网 情况 ,说 明 对 该 机 器 的 监控 是 正常 的 ,对 该 机 器 的 封 堵 也 将 
起 作用 。 此 外 ,如 果 流 量 图 表 上 的 指针 出 现 摆动 , 则 说 明 有 通信 流量 ,如 图 6-9 所 示 。 


图 6-9 流量 图 表 


3. 封锁 目标 机 器 上 网 
选中 被 测试 的 机 器 ,在 “现场 观察 "窗口 中 单 击 * 上 网 规则 ” 右 侧 的 “打开 ”按钮 , 则 打开 
“编辑 "上 网 规则 ”对 话 框 ,在 其 中 选择 “端口 过 滤 ”, 如 图 6-10 所 示 。 在 80 端口 上 打上 钧 
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( 注 : 如 果 网 络 采用 代理 上 网 , 则 上 网 端口 可 能 不 是 80, 这 就 需要 添加 新 的 端口 ,并 打 钓 )， 153 
下 部 的 封锁 时 间 段 全 为 绿色 , 单 击 “ 更 新 规则 ”一 ET 按钮 ,最 后 单 击 “ 保 存 设置 "按钮 使 设 
置 生效 。 


心 编辑 -上 网 规则 ” ER 
= 规 I) 


IE 国 国 | 纪 加 


“添加 规则 呈 规则 | 复制 规则 导入: 规 风 文 件 -> 列表 导出 :列表 -> 规 文 件 加 


规则 名 称 创建 人 | 网 过 无 “流量 限制 下载 类 型 网络 软件 “IF 过 涉 | 庙 口 过 涉外 发 尺 ， 
SARL 上 eee Mt) 
封 堵 指定 端口: 
被 封 讽 口 端口 描述 nd 
国 so 访问 因特网 添加 
目 x 发 送 邮 件 公 过 软件 ) 加 
目 1lo 接收 邮件 公 过 软件 ) 
目 aoo 登录 中 国 苦 戏 中 心 [全 选 | 
目 oo 登录 联众 游戏 | 再 际 | 
轩 sl9o 英文 ICQ 
目 eso 网 易 泡 泡 
目 soso Tahoe Wassenga 
加 1863 in be 
固 10010 可 乐 吧 苗 戏 中 心 
加 10002 可 乐 吧 老 版 游戏 


口 = 启用 本 选 硕 898j 间 段 单位 : 夺 小 时 ) 


6-10 封 堵 端 口 设置 


设置 完毕 后 ,再 次 让 被 目标 机 器 上 网 ,并 检查 “现场 观察 "窗口 中 的 记录 显示 。 
通过 上 述 三 个 步骤 的 测试 ,可 以 有 效 地 检测 出 产品 安装 是 否 成 功 。 


6.2 网 路 岗 各 种 监控 模式 介绍 


6.2.1 基于 网 卡 监控 


基于 网 卡 监控 就 是 以 网 卡 MAC 为 依据 ,根据 网 卡 MAC 地 址 确定 被 监控 的 信息 内 
容 的 身份 。 由 于 每 台 机 器 的 网 卡 MAC 相对 固定 ,被 监控 的 机 器 不 易 修 改 , 如 果 网 络 规模 
不 大 ,建议 管理 员 将 该 网 络 监控 模式 列 为 首选 。 

在 这 种 网 络 监控 模式 下 ,被 监控 的 机 器 更 换 新 的 网 卡 后 ,网 路 岗 会 重新 检测 到 新 的 
MAC, 因 此 .新 网 卡 将 被 当 作 新 加 入 的 机 器 来 处 理 , 在 此 提醒 管理 员 注 意 。 

基于 网 卡 网 络 监控 模式 的 操作 步骤 如 下 : 

(1) 选择 网 络 监控 模式 为 “基于 网 卡 MAC”, 如 图 6-11 所 示 。 

(2) 设置 监控 对 象 ,如 图 6-12 所 示 。 如 果 图 6-12 左边 部 分 为 空 , 则 需要 先 启动 监控 
服务 ,选择 绑 定 正确 的 网 卡 , 然 后, 单 击 * 搜 索 局 域 网 内 的 电脑 ”按钮 ,输入 正确 的 IP 地 址 
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.A 本 


图 6-11 网 络 监控 模式 


范围 ,开始 搜索 。 即 使 不 用 “搜索 邻居 ”功能 ,如 果 有 机 器 上 网 ,新 发 现 的 机 器 同样 可 以 自 
动 加 入 ;每 一 目标 机 器 都 有 相应 的 目录 ,默认 情况 下 ,新 机 器 都 放 入 目录 New Folder 中 。 
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图 6-12 监控 对 象 界面 (1) 


和 


在 “电脑 清单 ”窗口 下 有 一 个 小 的 工具 栏 ,下 面 介绍 这 些 工具 的 功能 。 

啊 “ 搜 索 局 域 网 内 的 电脑 "*， 自动 探测 指定 IP 范围 内 的 机 器 信息 (IP 地址/ 网卡 MAC)。 

东 * 手 动 添加 电脑 ”: 手动 添加 电脑 ,可 添加 到 某 一 群 组 。 

这 “创建 新 的 群 组 ": 创建 新 的 群 组 ,以 便 对 目标 机 器 进行 分 组 管理 。 

尖 “ 删 除 选中 条 目 ”: 删除 选中 的 一 个 或 多 个 目标 ,也 可 用 来 删除 空 的 群 组 。 

苞 “清空 电脑 列表 ”: 清空 电脑 清单 中 的 电脑 。 

名 “刷新 电脑 列表 ”: 刷新 电脑 清单 中 的 电脑 。 

绽 “ 电 脑 自动 分 类 设置 ": 可 把 电脑 按 IP 地 址 范围 加 入 群 组 或 者 套用 同样 的 上 网 规 
则 。 考 虑 到 电脑 列表 中 会 出 现 非常 多 的 电脑 ,如 果 电 脑 全 部 搜集 到 一 个 “ 群 组 "下 面 , 管 理 
起 来 就 会 比较 困难 ,所 以 ,第 八代 提供 了 专门 的 “新 电脑 自动 归 类 ”处 理 功 能 。 

驶 “查找 电脑 ": 如 果 目 标 机 器 太 多 ,就 可 以 用 此 功能 来 找 出 要 找 的 机 器 。 

国 “ 解 析 : IP 一 电脑 名 ”: 当 新 机 器 被 加 入 时 ,机 器 名 默认 为 其 IP 地 址 ,如 想 将 IP 地 
址 转变 成 机 器 名 ,就 可 使 用 此 功能 。 

购 “ 导 入 : 磁盘 文件 ~ 电脑 列表 ”: 将 导出 的 机 器 及 规则 配置 信息 从 指定 的 文件 加 入 
当前 机 器 列表 中 。 

总 “导出 : 电脑 列表 一 磁盘 文件 ”: 将 目标 机 器 的 信息 及 其 对 应 的 规则 配置 导出 到 自 
定义 的 文件 中 。 

二“ 电脑 列表 信息 ”: 列 出 了 电脑 前 监控 状态 图 标的 含义 和 处 于 各 种 监控 状态 电脑 的 
统计 。 


第 6 章 “局 城 网 盖 拉 区 件 “多 


6.2.2 ”基于 IP 监控 Ls8 

基于 IP 监控 的 定义 : 以 IP 地 址 为 依据 ,并 以 此 IP 来 确定 所 监控 的 信息 的 身份 。 

当 网 络 复杂 、 电 脑 数 量 多 的 时 候 , 在 基于 IP 监控 的 方式 下 ,管理 员 可 定义 一 个 IP 范 
围 段 来 作为 一 个 管理 对 象 。 可 能 只 关心 某 一 范围 内 机 器 的 上 网 情况 ,对 这 些 机 器 做 统一 
的 控制 ,不 一 定 非 要 具体 到 某 台 机 器 。 

基于 IP 网 络 监控 模式 的 操作 步骤 如 下 : 

(1) 选择 基于 IP 的 网 络 监控 模式 ,如 图 6-13 所 示 。 

(2) 设置 监控 对 象 ,如 图 6-14 所 示 。 


3 [3. 基于 1P _ 注 : 适合 大 到 网络 > 
图 6-13 ”网络 监控 模式 图 6-14 设置 监控 对 象 界面 


6.2.3 基于 账户 的 网 络 监控 模式 介绍 


“基于 账户 ”启用 后 ,被 控 电 脑 浏 览 网 页 时 ,会 跳 转 到 * 上 网 认证 ”界面 ,如 图 6-15 所 示 。 

上 述 页 面 的 用 户 可 以 自 定义 ,具体 方式 请 联系 开发 商 。 

账户 模式 又 分 为 两 种 情况 。 

。 活动 目录 ( 域 ) 情 况 : 该 模式 的 前 提 是 ,在 网 络 内 -Egwe 
安装 并 启用 了 活动 目录 (Active Directory), 上 寻 户 : 

网 用 户 需要 先 通过 域 登录 才 可 以 访问 互联 网 资 二 

源 ; 每 个 上 网 用 户 都 有 自己 的 账户 和 密码 ,一 个 ， 
账户 可 在 多 台 机 器 上 登录 。 针 对 这 类 情况 ,网 路 图 6-15 “上 网 认证 ”界面 

岗 没 有 必要 重新 定义 一 套 账户 来 管理 上 网 ,而 只 

需要 从 活动 目录 中 获取 账户 信息 ,通过 现 有 的 账户 管理 上 网 即 可 。 

。 系统 自 定义 情况 (多 在 网 吧 、 宾 馆 客房 中 使 用 ): 在 此 网 络 监控 模式 下 ,目标 机 器 
首次 上 网 时 ,如 访问 外 部 网 站 ,在 IE 窗口 中 将 会 出 现 要 求 身 份 验证 的 对 话 框 , 当 
验证 通过 后 ,在 屏幕 上 方 自动 弹出 计时 窗口 ,表明 目标 机 器 的 在 线 情况 ,这 时 候 ， 
目标 机 器 才 可 以 正常 上 网 .收发 邮件 等 。 

选择 基于 账户 的 网 络 监控 模式 ,如 图 6-16 所 示 。 

设置 监控 对 象 ,在 “电脑 清单 ”窗口 单 击 “ 手 动 添加 电脑 "按钮, 弹出“ 新建 账户 ”对 话 

框 ,在 此 设置 账户 的 账号 和 密码 等 信息 ,如 图 6-17 所 示 。 
新 建 账户 后 的 “电脑 清单 ”窗口 。 此 后 .该 用 户 上 网 时 将 被 要 求 输入 账户 名 和 密码 , 否 
则 不 能 上 网 ,如 图 6-18 所 示 , 在 此 还 可 以 限制 该 账户 每 天 的 上 网 时 间 。 
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新 建 账户 x 
账户 信息 | 
用 户 账号: | 
账号 密码 : | 
用 户 描述 : 
[| emt: [2 .于 允 户主 : 需 开 EF 能 ”| em ene) 
图 6-16 监控 模式 界面 图 6-17 “新 建 账 户 ” 对 话 框 
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图 6-18 监控 对 象 界面 (2) 


监控 方式 的 选择 : 

“基于 网 卡 MAC"? 是 主要 推荐 的 一 种 监控 方式 ,适合 网 络 规模 在 5000 台 计 算 机 以 下 
的 情况 。 

“基于 IP” 监 控 主 要 用 于 电脑 规模 大 、 控 制 要 求 不 高 的 网 络 ; 基 于 IP 监控 时 ,用 户 可 
以 定义 范围 了 ,以 简化 对 监控 目标 的 管理 。 

“基于 账户 ”主要 针对 一 些 特殊 行业 ,如 酒店 、 宾 馆 、 网 吧 等 。 


6.3 全 局 定义 规则 


1. 网 络 定义 

(1) 定义 内 部 网 段 , 如 图 6-19 所 示 。 

只 有 出 现 多 网 段 / 多 子 网 的 情况 , 才 需 要 定义 内 部 网 段 。 定 义 网 段 时 ,一 般 要 求 定 义 
每 个 需要 监控 的 IP 段 ,但 是 ,也 可 采用 简化 的 定义 方式 ,如 输入 192. 168. 0. 1 一 192. 168. 
1.255 ,这样 只 需要 输入 一 次 。 


(2) 设置 代理 IP 或 内 网 资源 ,如 图 6-20 所 示 。 
如 果 采 用 非 透明 代理 服务 器 软件 实现 多 机 共享 上 网 ,那么 必须 在 该 处 单 击 “ 添 加 ”, 再 


四 
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图 6-20 设置 代理 IP 或 内 网 资源 
输入 代理 服务 器 的 IP 地 址 (内 网 IP 范畴 ) 。 另 外 ,如 果 网 内 有 邮件 服务 器 等 内 网 资源 ,也 
需要 在 上 面 输入 其 IP, 才 能 监控 到 内 网 机 器 访问 内 网 资源 的 情况 。 


2. 不 规范 上 网 行为 
可 以 通过 如 图 6-21 所 示 的 对 话 框 设 置 记录 哪些 不 规范 的 上 网 行为 。 


6-21 不 规范 上 网 行为 设置 


在 图 6-21 中 单 击 * 添 加 ”, 可 以 弹出 如 图 6-22 所 示 的 对 话 框 , 补 充 一 些 包 含 敏 感 信 息 
的 网 站 。 
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图 6-22 自 定 义 上 网 行为 


3. 监控 端口 

监控 项 目 和 端口 是 息息相关 的 ,系统 通过 对 特定 端口 数据 的 分 析 来 实现 对 特定 项 目 
的 监控 ,如 图 6-23 所 示 。 每 一 个 项 目 可 同时 配置 三 个 端口 ,如 用 户 的 网 络 有 一 天 也 许 同 
时 有 80、8080、3128 等 访问 网 站 的 端口 的 现象 出 现 ,这 样 就 需要 配置 多 个 端口 。 


” 端口 自学 习 (针对 非 透明 代理 ,如 ISA 等 ) 
端口 


图 6-23 监控 端口 


如 果 采 用 非 透明 代理 服务 器 软件 实现 共享 上 网 , 且 代 理 端 口 并非 80 ,那么 就 需要 在 
HTTP 的 端口 80 后 面 增加 一 个 端口 值 。 此 时 ,可 以 在 
如 图 6-23 所 示 的 窗口 中 选择 端口 名 称 , 单 击 * 编 辑 ”, 则 
弹出 如 图 6-24 所 示 的 编辑 端口 界面 ,多 个 端口 以 逗号 


分 隔 。 
4. IP 黑 名 单 
当 系 统 检测 到 有 机 器 恶意 扫描 外 网 端口 时 ,系统 会 

自动 将 其 归 人 黑 名 单 , 也 可 手动 添加 到 黑 名 单 , 如 图 6-25 图 6-24 编辑 端口 

所 示 。 无 限期 归 人 黑 名 单 , 也 可 设置 临时 有 效 期 ,在 有 效 期 过 后 ,该 机 器 又 恢复 正常 。 
5. IP 白 名 单 


可 以 添加 一 些 IP 地 址 到 IP 白 名 单 , 处 在 白 名 单 内 的 IP 地 址 将 无 条 件 放行 ,处 于 不 
监控 状态 ,如 图 6-26 所 示 。 

6. 空闲 IP 

通常 ,网 络 管理 员 在 给 网 内 机 器 分 配 完 IP 后 发 现 有 些 IP 范围 段 是 空闲 的 ,短期 内 用 
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图 6-25 ”IP 黑 名 单 设置 
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和 不 规 包 上 网 行为 
加 监 入 庄 品 
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时 2 


| 添加 0D | 1 村 


， 现场 员 察 “ 济 上 日 志 搜索 日 志 内 网 管控 捕 名。 规 由 操作 权限 。 菏 屏 切换 ， 远程 协 助 软件 升级 产品 信息 加 
MD IP 白 名 单 >: 


下 列 理 地 址 无 条 件 交行， 处 于 


门 起 始 IP 


结束 IP 


I 


[PP 范围 


起 妨 IEF] 以 和 结束 本 粕 同 


El 


图 6-26 IP 白 名 单 设置 


不 上 ;同时 网 管 也 不 想 让 这 些 IP 被 使 用 ,那么 ,利用 空闲 IP 防止 计算 机 IP 被 私下 更 改 就 
非常 有 效 ,如 图 6-27 所 示 。 


7. 报警 


单 击 “报警 ”, 则 弹出 如 图 6-28 所 示 的 对 话 框 。 


图 6-28 报警 设置 


选择 “添加 ”, 则 弹出 “报警 项 目 定义 ”对 话 框 ,如 图 6-29 所 示 ,可 添加 需要 加 入 监控 的 
URL 关键 词 。 定 义 关键 词 的 时 候 , 建 议 输入 最 具 代 表 性 的 词 。 此 功能 可 用 来 封 堵 某 些 特 
定 网 站 。 

8. 监控 项 目 

可 以 在 此 设置 常见 网 络 活动 监控 项 目 和 外 发 资料 的 监控 项 目 , 在 相应 项 目前 的 方 框 
内 打 钧 即 可 ,如 图 6-30 所 示 。 

除了 上 述 的 项 目 之 外 ,还 可 以 做 监控 项 目 自 定义 。 以 过 滤 UDP 登录 方式 的 QQ 为 
例 , 这 里 设置 的 Port 8000 一 8001 是 针对 每 条 通信 的 外 网 端口 的 。 其 他 通信 端口 的 过 滤 
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图 6-29 报警 项 目 定义 


图 6-30 监控 项 目 界面 


设置 方式 类 似 。 单 击 “ 自 定义 项 目 ”, 则 弹出 “ 自 定义 监控 项 目 ” 对 话 框 ,如 图 6-31 所 示 。 

如 果 能 够 了 解 某 个 病毒 /游戏 /聊天 软件 的 通信 和 包 规 律 ,通过 自 定义 项 目 , 就 可 以 让 网 
路 岗 来 提醒 用 户 哪 台 机 器 在 做 什么 敏感 的 事情 。 

如 果 系 统 检测 到 符合 上 述 条 件 的 通信 和 包 ,就 会 在 现场 观察 窗口 中 显示 出 来 ,并 记录 到 
日 志文 件 中 。 

9. 监控 时 间 

监控 时 间 安 排 ,如 图 6-32 所 示 。 用 户 可 根据 需要 设置 过 滤 启用 时 间 ,该 时 间 是 针对 


ee 


的 
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源 端 口 模式 MIN MAX ， 源 端 口 模式 WIN MA 


6-31 自 定 义 监控 项 目 


所 有 过 滤 项 目的 总 体 控制 的 。 该 处 显示 的 监控 时 间 是 全 局 的 ,在 非 监 控 时 间 段 ,监控 服务 
会 完全 不 做 任何 控制 ,尽管 服务 还 处 于 运行 状态 。 
后 常 用 网 络 活动 的 监控 时 间 段 
10 12 14 16 18 20 22 


版 om 0 吕 0 0 8 
E35 


24 


| 2013-2-23 Saturday 20:26:9 


6-32 ”监控 时 间 段 设置 
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6.4 上 网 规则 

1. 网 页 过 滤 

选择 工具 栏 里 的 “规则 ”选项 ,在 弹出 的 菜单 中 选择 “编辑 上 网 规则 ”。 在 弹出 的 对 话 


框 中 选择 “网 页 过 滤 ” 标 签 。 网 页 过 滤 主 要 是 针对 URL 地 址 的 过 滤 , 对 内 容 不 予 过 滤 , 如 
图 6-33 所 示 。 


6-33 ”网 页 过 滤 


举例 说 明 : 

在 禁止 网 站 列表 中 输入 “暴力 ”, 以 防 被 控 机 器 在 搜索 网 站 上 以 该 关键 词 来 搜索 ,如 
图 6-34 所 示 。 

在 只 允许 访问 的 文件 中 输入 google. com 和 google. com. hk 只 能 上 google, 如 图 6-35 
所 示 。 

2. 流量 限制 

首先 说 明 , 只 能 检测 到 上 网 带宽 数据 而 不 能 实现 对 带宽 的 管理 和 分 配 。 尽 管 如 此 , 根 


“后 面 的 部 分 被 系统 当 作 注释 内 容 , 不 做 处 理 。 


可 设 zex 等 词语 来 洁 。 
， 如 sina, sohr 


# 假 如 想 过 滤 sina 的 网 站 , 就 输入 sina 即 可 


下 面 的 关键 词语 过 过 源 聊 天 网 站 


天 针 订 可 用 来 控制 下 载 文件 


rm 


十 比如 在 google. com bai tu com 上 面 的 搜索 的 中 文 内 容 


‘ 


6-34 ”关键 词 设置 


上 特别 提示: 符号 "# 是 注 各 和 罕 , 每 行文 字 中 所 有 在 "六 后 面 的 部 分 被 系统 当 作 注 释 内 容 ,不 做 处 理 。 
# 注释 : 1 输入 网 站 的 时 候 , 建议 不 要 输入 前 织 "http://wrww. ” 如 :可 以 输入 sina com. en 而 不 要 


网 输入 http://www. sina com. cn 


: 2. 每 - 行 中 “部 | 
ea 
这 内容, 对 这 - 词 。 


可 让 上 下 面 的 网 站 


google. com 
google. com. hk 


6-35 设置 只 允许 的 网 站 
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据 客户 的 要 求 , 该 软件 提供 了 对 流量 的 限制 功能 ,如 图 6-36 所 示 。 例 如 ,限制 某 台 机 器 每 165 
天 只 能 有 多 少 兆 字 节 的 上 网 流量 ,超过 这 个 数字 ,系统 就 会 自动 断 网 。 


[< 编 加 "上 网 规 出。 sa 
:mI 
人 
i 喘 四 | 号 里 
“添加 规则 遇 除 规则 揽 制 缀 则 导入 :规则 文件 -> 列表 导出 :列表 -> 规 刚 文件 尼 


规则 名 称 创 灌 人 | 网 页 过 涯 | 流量 限制 | 下 载 类 型 网 络 软件 下 过 湛 端口 过 下 外 发 RR 1] 
RR Eroae Mt) a 


“带宽 控制 ”在 非 达 路 安装 模式 下 有 效 ! 


Eee ,| 局 Bn :> Sei eos ND BN | 
新 电脑 加 入 时 ， 套 用 规则 :|< 空 > | 确定 0) | 取消 人 


图 6-36 流量 限制 界面 


“流量 限制 ”选项 卡 显示 的 累计 流量 是 动态 的 ,便于 及 时 观察 到 客户 机 的 流量 。 

3. 下 载 类 型 

网 路 岗 可 以 设置 禁止 下 载 的 文件 类 型 .在 相应 的 类 型 前 打 钧 即 可 ,如 图 6-37 所 示 。 
单 击 “ 添 加 ”, 还 可 以 增加 禁止 下 载 的 文件 类 型 。 

4. 网 络 软件 

可 以 设置 过 滤 掉 一 些 网 络 软 件 ,在 相应 项 目前 打 钧 即 可 ,如 图 6-38 所 示 。 

5. IP 过 滤 

IP 过 滤 是 针对 Internet 上 各 类 资源 的 IP 地 址 的 过 滤 , 进 行 设置 时 ,需要 对 IP 有 全 面 
的 了 解 。 事 实 上 ,全 球 IP 地 址 的 分 配 是 有 一 定 规定 的 ,相关 知识 可 在 网 上 搜索 到 ,搜索 关 
键 词 请 用 “IP 地 址 分 配 ”, 利 用 这 些 规定 ,可 以 设置 某 些 地 区 的 网 站 不 可 以 上 。 

某 些 大 型 网 站 ,如 Yahoo、Sina 等 都 有 很 多 的 IP 地 址 ,因此 ,不 能 简单 通过 一 两 个 IP 
地 址 来 封锁 该 网 站 。 

IP 过 滤 的 设置 界面 与 网 络 软 件 的 过 滤 界 面 类 似 ,设置 方法 也 类 似 , 如 图 6-39 和 
图 6-40 所 示 。 
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图 6-38 网 络 软件 过 滤 设 置 


示 : 符号“#" 是 注释 从 ,每 行文 字 中 所 有 在 “# "后面 的 部 分 被 系统 当 作 注释 内 容 , 不 做 处 理 。 


Ee Ta 


图 6-40 IP 过滤 设 置 


6. 端口 过 滤 

为 方便 控制 ,网 路 岗 专门 收集 了 端口 列表 ,可 供 选择 。 在 如 图 6-41 所 示 的 过 滤 选 项 
卡 中 , 单 击 “ 添 加 ”按钮 进行 添加 ,也 可 选中 某 项 端口 然后 删除 。 

封 堵 端口 是 略 专业 化 的 功能 名 词 , 从 本 产品 一 代 开 始 就 保留 了 此 功能 ,是 现 有 客户 用 
得 比较 多 的 功能 之 一 。 

任何 一 款 网 络 软件 ,如果 建立 在 TCP/IP 通信 之 上 ,都 会 用 到 端口 ,如 股票 软件 .FTP 
软件 ,收发 邮件 软件 等 ,都 具备 自己 的 开放 端口 。 因 此 ,通过 端口 来 封锁 上 网 行为 是 非常 
有 效 的 。 


4 
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规则 名 称 人 键入 | 网 抽 过 天 流 里 限制 下载 类 型 网 络 软件 茸 过 滤 | 凋 口 过 滤 | 外 发 尺 ，， 
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园 10 接收 邮件 依 过 软件 ) 
目 som 登录 中 国 革 戏 中 心 [人选 | 
目 zom 登录 联众 游戏 Ea 
回 sleo 英文 IC9 
目 le 网 易 泡 泡 
El 5050 Tahoo Messenger 
1863 Msn Messenger 
目 loolo 可 乐 吧 游戏 中 心 
加 10002 可 乐 吧 老 版 游戏 


口 = 启用 本 选项 8 时 间 段 (单位 : 半 小 时 ) 


Eee | 局 Bia > St EI 


新 电脑 加 时, 套用 规则 : [全 -| | We) | mie | 


图 6-41 封 堵 端口 界面 


尽管 很 多 软件 的 端口 是 软件 开发 者 自 定义 的 ,但 用 户 不 必 担 心 其 改变 自身 的 开放 端口 ， 
因为 “开放 端口 "一 旦 改变 ,该 软件 的 客户 端 也 必须 随 之 更 改 , 从 市 场 角度 看 是 不 现实 的 。 

如 果 了 解 IP 包 的 话 , 可 利用 本 系统 提供 的 IP 分 析 工 具 来 分 析 端 口 。 

7. 外 发 尺寸 

对 外 发 尺寸 的 控制 是 一 种 模糊 控制 ,并 不 能 精确 到 字 节 数 ,而 且 只 有 在 购买 的 版 本 具 
备 邮件 内 容 的 监控 功能 时 才 起 作用 。 如 果 没 有 内 容 监 控 功能 的 话 , 系 统 无 法 及 时 知道 外 
发 文件 的 大 小 ,也 就 不 能 在 中 途 进 行 堵截 ,具体 设置 界面 见 图 6-42。 

8. 邮件 过 滤 

邮件 过 滤 并 非 严格 过 滤 ,这 是 因为 如 果 邮 件 内 容 太 少 ,甚至 没有 ,那么 系统 检测 到 有 
邮件 发 送 迹象 时 ,就 已 经 太 迟 了 ,该 邮件 可 能 已 经 发 送出 去 了 ,再 去 堵截 就 没有 意义 了 。 

尽管 如 此 ,针对 稍 大 的 邮件 的 过 滤 还 是 有 效 的 ,尤其 是 带 附 件 的 邮件 , 见 图 6-43。 除 
此 之 外 ,还 可 以 设置 只 能 通过 企业 邮局 收发 邮件 .或 只 能 发 邮件 到 指定 的 工作 类 邮箱 。 

9. 监控 选项 

在 功能 项 目 选项 卡 中 可 根据 需要 设置 目标 的 监控 内 容 。 可 以 设置 监控 常见 的 网 络 活 
动 ,监控 外 发 资料 内 容 或 聊天 内 容 等 ,如 图 6-44 所 示 。 

10. 开放 端口 

可 设置 只 开放 指定 的 端口 ,如 图 6-45 所 示 。 


图 6-43 ”邮件 过 滤 界 面 
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图 6-45 开放 端口 设置 
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11. 启用 时 段 il 
只 有 在 蓝 色 时 间 段 ,上 网 规则 才 起 作用 ,如 图 6-46 所 示 。 在 蓝 色 时 间 段 是 不 是 就 一 

定 可 以 上 网 还 难说 ,主要 看 其 他 的 选项 卡 中 是 否 设置 了 封 堵 , 在 如 此 多 的 上 网 规则 中 ,只 

要 有 一 处 封 堵 , 就 能 起 到 封 堵 的 作用 。 


女 编辑 * 上 网 规则 * J 
= 规 RIP) 
曙 国 的 
“添加 规 风电 除 规 | 。 复制 规则 号 入 : 规 刚 文件 -> 到 表 号 出 :列表 -> 规 刚 文件 号 
| 规则 名 称 创 唐 人 |】 端口 过 小 外 发 R 寸 邮件 过 惠 ”监控 选 顺 开放 江口 | 启用 时 丰 | 
| | 当前 “上 网 规则 革 名 的 启用 时 间 失 
m0 020 0 0810 12 11416 1820 2 24 
转 日 。 MN 
周一 
局 -nt 
| 周 =: 
周 四 : 
| 局 五 : 
| 局 
| 
| “节假日 " 不 启用 规则 
| 名 其 EJ 
| 五 一 劳动 节 5.1-5.7 | 编辑 | 
] 十 一 国庆 节 10.1-10.7 Ez 
| 
IE | 局 更 新 规 M => 品 允 六 上 erode M2 江村 | 
新 电脑 加 入 时 ， 套 用 规则 :| < 宝 > | | 确定 0) | 取消 c) | 


图 6-46 启用 时 段 设置 
6.5 客户 端 规则 


6.5.1 客户 端 规 则 的 安装 


选择 工具 栏 里 的 “规则 ?选项 ,在 弹出 的 菜单 中 选择 “编辑 客户 端 规则 ”。 在 弹出 的 “ 编 
辑 “客户 端 规则 ”窗口 中 选择 “强制 安装 ”, 如 图 6-47 所 示 。 勾 选 “ 强 制 安 装 ”“ 启 用 “截屏 
客户 端 '”( 网 路 岗 可 以 对 被 监控 电脑 截屏 ) 和 “启用 上 网 评价 客户 端 ”( 客 户 端 可 以 接收 到 
上 网 评价 信息 )。 则 客户 端 电脑 上 网 时 会 弹出 如 图 6-48 所 示 的 界面 ,提示 下 载 安装 网 路 
岗 客户 端 软件 。 

安装 成 功 后 ,在 网 路 岗 管理 软件 中 选中 该 电脑 后 ,在 现场 观察 窗口 中 将 出 现 如 图 6-49 
所 示 的 安装 信息 。 如 果 不 再 需要 客户 端 程序 , 则 可 以 直接 单 击 “ 印 载 客户 端 "按钮 进行 印 载 。 

安装 成 功 后 客户 端 电 脑 上 将 出 现 如 图 6-50 所 示 的 “网 路 岗 - 上 网 评价 ”漂浮 窗 , 在 任 
务 栏 中 出 现 上 网 评价 图 标 恩 . 
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时 2 i | 
2 编辑 * 容 户 端 规则 * SW 
规 mF) 
= | 规则 名 称 创建 人 强制 安装 | 截屏 配置 智能 截屏 进程 控制 _ 设 备 控制 ”实时 评价 ”当天 统计 
DS) | ES 
四 
史 了 强制 赤 装 。《 检 出 受 有 支 革 MB8 岂 上 同 ) 
和 
加 
加 7 启用 “截屏 客户 湛 " 
a Me te 
记录 客户 由 文件 操作 虽 沉 功能 ) 
了 太 用 < 上 阿 主人 窜 户 关门 县 作 客户 
| » 器 更 WN > sple 时 id 
新 电脑 加 入 时 ， 套用 规则 : |swmpl% 确定 @) | 取消 C) | 


图 6-47 客户 端 安装 设置 


es ee | 


EF 


el EE 
图 6-48 客户 端 上 网 提示 


ieniAgentSetupzip 中 的 29% 条 2 从 


客户 器 程序 : | 已 安装 , 版 本 :1.0.3.6- | | | 却 载 客户 清 | 1 
图 6-49 客户 端 程序 已 安装 信息 图 6-50 “网 路 岗 - 上 网 评价 ”漂浮 窗 
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6.5.2 客户 端 规则 的 设置 
1. 截屏 配置 
可 配置 针对 客户 端的 截屏 时 间 、 截 图 质量 、 截 图 数量 等 ,如 图 6-51 所 示 。 


6-51 截屏 配置 


2. 智能 截屏 

可 开启 智能 截屏 ,如 设置 计算 机 长 时 间 无 人 操作 时 不 截图 ,插入 U 盘 或 光盘 后 截屏 ， 
开启 敏感 应 用 程序 后 截屏 等 ,如 图 6-52 所 示 。 

3. 进程 控制 

可 设置 客户 端 禁 止 运行 的 程序 ,如 图 6-53 所 示 。 

4. 设备 控制 

可 设置 客户 端 禁 用 的 设备 ,如 摄像 头 、 声 卡 、 光 盘 等 ,如 图 6-54 所 示 。 

5. 实时 评价 

可 设置 进行 实时 评价 的 激活 条 件 , 如 图 6-55 所 示 。 

6. 当天 统计 

如 果 客 户 端 行为 不 当 , 如 当天 访问 网 页 过 多 .QQ 聊天 记录 数 过 多 等 ,可 以 记 入 日志， 
如 图 6-56 所 示 。 


图 6-53 进程 控制 


XLUE. dl 


download_in ., 
lstat. lL 
Fa2HLoader exe 
commonlib dll 
ommonlib dll 
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图 6-54 设备 控制 


图 6-55 实时 评价 


图 6-56 ”当天 统计 


6.6 日 志 查 阅 日志 报 表 及 远程 控制 中 心 


6.6.1 日 志 查阅 和 日 志 报 表 

1. 查阅 网 络 活动 日 志 

选择 “日 志 ”, 单 击 “ 浏 览 日 志 ”, 或 者 直接 单 击 “ 浏 览 日 志 ” 按 钮 ,可 以 打开 “日 志 浏 览 
器 "窗口 。 选 择 目标 机 器 ,并 选择 关心 的 网 络 活动 ,如 图 6-57 所 示 。 在 查询 日 志 的 时 候 ， 
可 以 针对 所 有 机 器 ,也 可 以 随意 选择 目标 机 器 ,以 显示 对 应 的 日 志 记 录 。 

2. 查阅 外 发 文件 日 志 

选择 目标 机 器 ,在 “日 志 浏览 器 窗口 的 左下 侧 选择 * 外 发 文件 * 下 的 项 目 即 可 ,可 查看 
邮件 正文 的 附件 ,QQ 传送 文件 ,FTP 传送 文件 ,网 页 发 帖 等 记录 ,如 图 6-58 所 示 。 

“日 志 浏 览 器 "中 还 可 以 查询 聊天 内 容 , 统 计 报表 ,同时 可 以 做 日 志 的 搜索 ,如 图 6-58 
所 示 。 
3. 日 志 报 表 
日 志 报 表 的 导出 很 容易 , 单 击 工具 栏 中 的 导出 结果 图 标 园 即 可 导出 日 志 记录 到 . xls 
文件 。 在 此 需要 注意 的 是 文件 名 要 有 针对 性 ,方便 日 后 查询 ,如 图 6-59 所 示 。 


192.168 1 101 SEE 253l8512E5 btp: /122. 

ae lee 1.101 St-Fc asamm5ler htsp: finsd 

130.168 1.101 St EAS3IE512EC bttp: fwwe. 

0c.t68 1.101 sr- Sa 了 io bttp: fiwwr. 

20l3-00-24 11:48:15 192.169 1.101 sr yssI512rr http: ffwm, 

40 got3-0024 11 00 le8 1.101 src Beans Mt:f/12e, 
200024 11:46:W 1g2. 8 1. 10! Sr Eaps3yp512rc bttp: ffwwe, 
2 2013-0-24 11:46:% 90. 168 1.101 st-Ee Sal851280 bttp: f/mme. 
43 zo-ge24 11:45:W 1g 168 1.10! sr Hayssy512rr http: ffww, 
14 20l3-00-24 11:45:36 190. 168 1.101 Sr Esayps:28e http: fluw. 


20-00-24 11:46;44 


asoRC http: /frae 
BeySaMSt2E htt: fun 
1 168 1101 I 531H5)285 btrp: fiwww. 
9c. 168 1.101 src mssieer http:/find 


salt5l2zr 


etc Li0l strc tep:1H122 


图 6-57 
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图 vahoo Messenger 
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己 搜索 邮件 {outlook 郎 件 、foxmail 因 ) 
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6-58 日 志 浏览 器 查询 项 目 


6.6.2 远程 控制 中 心 
1. 授权 


“日 志 浏览 器 ”窗口 


文件 名 0 |20130zz4R 页 浏览 


[和 保存 类 型 加 imi crosoft Excel (+ x1s) E 


图 6-59 日 志 报表 的 导出 


在 使 用 远程 日 志 查阅 功能 的 时 候 , 必 须 先 在 监控 端 进行 授权 。 在 网 路 岗 软件 的 
主 界面 (图 6-61) 选 择 “ 授 权 / 档 案 ” 项 目下 的 “远程 二 查阅 日 志 二 授权 ”, 单 击 “ 添 加 ”， 
然后 出 现 如 图 6-60 所 示 界 面 。 


rT 


图 6-60 添加 用 户 


授权 内 容 包括 用 户 名 、 密 码 .配置 程序 查阅 日 志 的 权限 等 ,如 图 6-61 所 示 。 
2. 安装 远程 控制 中 心 端 程序 
安装 程序 位 于 光盘 中 ,运行 主 程序 ,如 图 6-62 所 示 。 


[192, 168. 1. 101 


图 6-61 授权 界面 图 6-62 登录 界面 


首先 新 建 服务 器 ,新 建 内 容 包括 服务 器 地 址 和 存放 该 服务 器 日 志 的 目录 。 通 过 远程 
控制 中 心 可 以 选择 登录 不 同位 置 的 服务 器 。 

数据 交换 口 在 监控 机 端 有 定义 ,默认 是 9010 端口 ,如 果 和 希望 更 改 的 话 , 请 在 网 路 岗 软 
件 的 “授权 /档案 ”项 目下 单 击 “ 远 程 一 查阅 日 志 志 授权 ”并 做 修改 后 ,再 重新 启动 数据 交换 
服务 。 

在 输入 用 户 名 和 密码 后 ,登录 时 ,可 能 碰 到 下 面 的 问题 : 
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(1) 错误 提示 一 :“ 登 录 服 务 器 失败 ”。 

解决 方法 如 下 : 

首先 ,检查 服务 器 IP 地 址 是 否 正确 ,如 果 没 有 问题 ,再 用 Ping 命令 检查 。 如 果 不 能 
Ping, 则 检查 监控 机 上 是 否 安装 了 个 人 防火 墙 软件 ,如 有 , 则 可 能 需要 外 载 再 试 。 

如 果 能 够 Ping 监控 机 , 则 需要 检查 数据 交换 “通信 ”服务 是 否 已 经 启动 ,而且 两 边 的 
端口 是 否 一 致 。 

(2) 错误 提示 二 :“ 验 证 名 和 密码 失败 ”。 

解决 方法 如 下 : 

检查 监控 机 上 授权 的 用 户 名 和 密码 ,如 果 检 查 不 出 任何 问题 ,建议 男 外 新 建 一 个 用 户 
名 试验 。 

3. 下 载 日 志 

一 旦 登录 成 功 ,就 可 以 通过 菜单 中 的 “下 载 日 志 ” 功 能 来 选择 下 载 日 志 内 容 , 如 
图 6-63 所 示 。 


EEEE 
; 日志 们 时间 (0 查看 VM 帮助 0 
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pr" 24 11:48:02 192.168 1.101 SI-FC 
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日 已 网 络 活动 的 ] 192. 168 1 101 St- 
6 WRG 而 192.168.1.101 st- PaD52Dbsl28E http:/ 
区 接收 ( 汐 邮 件 省 192. 168 1. 101 SI- EADS3DBS12EC http:// 
rd eat EE 192. 168 1.101 SY-FC EADS3DESI2EC http:// 
et oon EE 192.168.1.101 SY-FC EADS3DESI2EC http’// 
上 网 流量 EE 192.168 1.101 SY-FC EADS3DESI2EC http:// 
邮 FTP 完 归侨 EE 192. 1868 1.101 SY-] EADS3DESI2EC http:/ 
向 TaneekaG 活 的 192.188 1.101 Sr-EC Ee http:/ 
全 不 上 网 行为 | 可 192 168.1.101 SEC http:/ 
6-63 “下 载 日 志 ” 功 能 


本 章 以 网 路 岗 为 工具 ,讲解 了 网 络 管理 软件 的 初步 使 用 方法 ,介绍 了 此 款 软 件 的 安 
装 ,配置 和 使 用 过 程 。 通 过 学 习 , 要 求 掌握 用 网 路 岗 软件 对 简单 网 络 进行 管理 的 方法 和 使 
用 技巧 ,并 能 触 类 旁 通 , 使 用 其 他 简单 网 络 管理 软件 对 网 络 进行 管理 。 


We 
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4 话 本 章 习 题 
参照 本 章 所 讲 ,在 征 得 网 络 管理 员 同 意 的 前 提 下 ,使 用 网 路 岗 软 件 对 所 使 用 的 网 络 进 
行 管理 。 
(1) 安装 网 路 岗 软件 。 
(2) 绑 定 网 卡 。 


(3) 监控 模式 设置 为 “基于 网 卡 ” 模 式 。 

(4) 启动 所 有 的 后 台 监 控 服 务 。 

(5) 检验 是 否 安 装 正确 。 

(6) 封 墙 某 台 机 器 的 收发 邮件 功能 ,并 检验 封 堵 的 效果 。 
(7) 查阅 网 络 活动 日 志和 外 发 资料 日 志 。 

(8) 进一步 熟悉 上 网 规则 和 客户 端 规则 。 


太 


言 息 安全 


【本 章 重点 】 

了 解 信 息 安全 和 加 密 技术 的 基本 概念 和 简单 的 密码 技术 ;了 解 DES 和 RSA 密码 体 
制 ;理解 数字 签名 的 基本 原理 ;了 解 加 密 技 术 在 电子 商务 中 的 应 用 。 重 点 掌握 加 密 算法 的 
种 类 、 密 钥 分 配 与 管理 方法 及 数字 签名 的 实现 过 程 。 


随 着 网 络 技 术 的 飞速 发 展 ,网 络 已 经 深入 到 政府 、 军 事 、 文 教 .商业 等 诸多 领域 ,网 络 
在 给 人们 带 来 方便 、 快 捷 的 同时 ,也 带 来 了 威胁 。 计 算 机 犯罪 黑客、 有害 程序 和 后 门 问题 
等 严重 威胁 着 网 络 的 安全 。 随 着 人 们 对 计算 机 网 络 安全 的 要 求 越 来 越 高 ,这 些 问题 已 经 
引起 了 普遍 关注 ,成 为 当今 网 络 技术 的 一 个 重要 研究 课题 。 


7.1 网 络 安全 概论 


网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 .通信 技术 、 密 码 技术 、 信 息 安全 技术 应 
用 数学 .信息论 等 多 种 学 科 的 综合 性 学 科 。 

网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 者 恶 
意 的 原因 而 遭 到 破坏 .更改 ` 泄 露 , 确 保 系统 能 连续 、 可 靠 运行 ,网 络 服务 不 中 断 。 网 络 安 
全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 从 广义 上 来 说 ,凡是 涉及 网 络 上 信息 的 保密 
性 、 完 整 性 、 可 用 性 和 可 控 性 的 理论 都 属于 网 络 安全 的 研究 领域 。 

(1) 保密 性 : 信息 不 泄露 给 非 授权 用 户 。 

(2) 完整 性 : 数据 未 经 授权 不 能 进行 改变 的 特性 , 即 信息 在 存储 或 传输 过 程 中 保持 
不 被 修改 ,不 被 破坏 和 不 被 丢失 的 特性 。 

(3) 可 用 性 : 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 , 即 当 需要 时 能 否 使 用 的 信 
息 。 例 如, 网络 环境 下 拒绝 服务 、 破 坏 网 络 和 有 关系 统 的 正常 运行 等 都 属于 对 可 用 性 
的 攻击 。 

(4) 可 控 性 : 对 信息 的 传播 及 内 容 具 有 控制 能 力 。 

1. 网 络 安 全 内 酒 

网 络 安全 包括 物理 安全 .系统 安全 、 信 息 安 全 \ 文 化 安全 ,网 络 安全 层次 图 如 
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图 7-1 所 示 。 
(1) 物理 安全 文化 安全 
物理 安全 是 指 保护 计算 机 系统 的 物理 设备 、 网 络 连 信息 安全 


接 设 备 . 存 储 介质 及 其 他 媒体 。 对 计算 机 网 络 与 计算 机 
系统 的 物理 设备 的 威胁 ,主要 表现 为 自然 灾害 (包括 地 

震 .水 灾 、 火 灾 . 电 磁 辐 射 ) 以 及 人 为 操作 失误 或 盗 疮 等 

犯罪 行为 导致 的 破坏 。 

危险 行为 : 通信 和 干扰、 危害 信息 的 侵入、 信号 辐射 、 “图 ”1 网 络 安全 层次 图 
信号 蔡 换 .恶劣 的 操作 环境 。 

防范 措施 : 抗 干 扰 系 统 、 防 辐射 系统 .隐身 系统 .加固 系统 ,数据 备份 。 

(2) 系统 安全 

系统 安全 是 指 保护 网 络 系统 ,操作 系统 及 数据 库 系 统 的 安全 。 系 统 安全 存在 的 威胁 
主要 表现 为 对 计算 机 网 络 与 计算 机 系统 可 用 性 与 可 控 性 进行 攻击 ,导致 网 络 及 计算 机 不 
能 正常 运行 。 

危险 行为 : 网 络 被 阻塞 .资源 被 非法 使 用 、 计 算 机 病毒 人 侵 等 使 得 依赖 于 信息 系统 的 
管理 或 控制 体系 陷于 瘫 疾 。 

防范 措施 : 安装 杀毒 软件 .防止 信 侵 , 检 测 入 侵 、 攻 击 反 应 、 系 统 恢复 。 

(3) 信息 安全 

信息 安全 是 指 对 计算 机 存储 介质 上 存放 的 数据 及 在 网 络 中 传输 的 数据 安全 的 保护 ， 
对 所 处 理 的 信息 机 密 性 与 完整 性 的 威胁 ,主要 表现 在 加 密 方面 。 

危险 行为 : 窃取 信息 、 自 改 信息 、 冒 充 信息 、 信 息 抵赖 。 

防范 措施 : 加 密 、 完 整 性 技术 认证、 数字 签名 。 

(4) 文化 安全 

文化 安全 是 指 防止 有 害 信息 的 传播 对 我 国 的 政治 制度 及 传统 文化 的 威胁 , 主要 表现 
在 与 论 宣传 方面 ,防止 和 控制 非法 、 有 害 的 信息 进行 传播 ,避免 公用 通信 网 络 上 大 量 自由 
传输 的 信息 失控 。 

危险 行为 : 淫秽 暴力 信息 泛滥 .敌对 的 意识 形态 信息 涌 入 、 英 语文 化 的 “ 涝 洪 现象 "对 
民族 文化 的 冲击 ,互联 网 被 利用 作为 串联 工具 ,传播 迅速 ,影响 范围 广 。 

防范 措施 : 设置 网 关 , 监 测 、 控 管 。 

2. 网 络 系统 安全 领域 存在 的 威胁 

(1) 操作 系统 太 脆 弱 ,容易 受 攻击 。 使 用 网 络 离 不 开 操作 系统 ,操作 系统 是 手工 编写 
的 ,可 能 存在 许多 漏洞 有 很 多 网 络 攻击 方式 都 是 针对 操作 系统 的 漏洞 ,入 侵 计算 机 来 窗 
取 有 用 信息 或 阻碍 网 络 信息 传输 的 。 

(2) 系统 被 攻击 时 很 难 及 时 发 现 和 制止 。 网 络 上 的 攻击 方式 一 般 都 是 比较 隐藏 的 ， 
攻击 者 入侵 计算 机 后 造成 的 影响 可 能 不 会 马上 表现 出 来 。 例 如 攻击 者 可 能 会 把 病毒 放 人 入 
被 攻击 的 计算 机 中 ,在 很 短 的 时 间 里 大 量 复制 .感染 文件 ,等 待 病毒 发 作 。 当 被 攻击 者 发 
现 系统 变 慢 , 文 件 丢失 ,甚至 系统 不 能 正常 启动 时 ,为 时 已 晚 。 

(3) 有 组 织 有 计划 的 入侵 无 论 在 数量 上 还 是 在 质量 上 都 呈现 快速 增长 的 趋势 。 早 其 
的 计算 机 入 侵 主要 是 编程 高 手 为 了 显示 自己 的 水 平 或 者 证 明 程序 的 辫 端 ,基本 上 都 是 个 
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人 行为 。 而 现在 的 入 侵 比 较 多 的 是 出 于 商业 或 政治 上 的 原因 ,有 组 织 有 计划 的 入 侵 可 以 
集中 攻击 力量 ,加 速 入 侵 的 速度 ,以 在 更 短 时 间 内 造成 更 大 的 损失 或 者 获得 更 多 的 信息 。 

(4) 在 规模 和 复杂 程度 上 不 断 扩展 网 络 而 很 少 考虑 其 安全 状况 的 变化 情况 。 网 络 现 
在 已 经 渗透 到 各 行 各 业 ,很 多 行业 对 网 络 的 使 用 只 考虑 方便 性 .开放 性 ,并 没有 考虑 总 体 
安全 构想 ,或 对 网 络 安全 没有 足够 重视 。 应 该 按 网 络 的 规模 和 网 络 中 数据 的 重要 性 来 设 
置 网 络 的 安全 模式 和 等 级 。 

3. 网 络 安全 中 的 主要 技术 

网 络 在 现代 工作 生活 中 扮演 了 重要 的 角色 ,改变 了 人 们 的 工作 方式 ,加 快 了 人 们 的 工 
作 效 率 。 正 是 因为 它 的 重要 性 ,所 以 针对 网 络 的 攻击 手段 随 着 网 络 技术 的 发 展 也 在 不 断 
地 发 展 。 在 网 络 中 采用 哪些 技术 机 制 才能 维护 网 络 的 安全 呢 ? 

(1) 加 密 技 术 

加 密 是 提供 信息 保密 最 核心 .最 有 效 的 方法 。 通 常 按照 密 钥 类 型 的 不 同 , 加 密 算法 可 
分 为 对 称 密 钥 算法 和 非 对 称 密 钥 算法 两 种 。 加 密 算 法 除了 实现 信息 的 保密 性 之 外 ,还 可 
以 和 其 他 技术 结合 ,例如 Hash 函数 ,实现 信息 完整 性 的 检验 。 

加 密 技 术 不 仅 应 用 于 数据 通信 和 存储 ,也 应 用 于 程序 的 运行 ,通过 对 程序 的 运行 实行 
加 密 保 护 ,可 以 防止 软件 被 非法 复制 ,防止 软件 的 安全 机 制 被 破坏 。 例 如 ,应 用 程序 利用 
一 些 加 壳 软 件 加 上 一 个 外 壳 , 让 软件 不 能 被 轻易 盗版 或 复制 。 

(2) 访问 控制 技术 

访问 控制 机 制 用 于 控制 进入 系统 的 用 户 对 系统 资源 的 使 用 范围 和 访问 形式 ,可 以 防 
止 未 经 授权 的 用 户 非法 使 用 系统 资源 ,这 种 访问 控制 机 制 不 仅 可 以 提供 给 单个 用 户 ,也 可 
以 提供 给 用 户 组 的 所 有 用 户 。 访 问 控制 是 通过 检查 访问 者 的 有 关 信 息 来 限制 或 禁止 访问 
者 使 用 资源 的 技术 ,分 为 低层 访问 控制 和 高 层 访问 控制 。 低 层 访 问 控制 是 指 通过 对 通信 
协议 中 的 某 些 特征 信息 的 识别 和 判断 ,来 禁止 或 允许 用 户 访问 的 措施 。 

例如 ,在 路 由 器 上 设置 过 滤 规 则 对 数据 包 过 滤 就 属于 低层 访问 控制 。 高 层 访问 控制 包 
括 身份 认证 和 权限 确认 ,是 通过 对 用 户口 令 、 用 户 权限 、 资 源 属性 的 检查 和 对 比 来 实现 的 。 

(3) 数据 完整 性 鉴别 技术 

数据 完整 性 是 指数 据 是 可 靠 准确 的 ,用 来 泛 指 与 损坏 和 丢失 相对 的 数据 状态 。 鉴 别 
是 指 对 信息 进行 处 理 的 人 的 身份 和 相关 数据 内 容 进行 验证 ,达到 信息 正确 有 效 和 一 致 的 
要 求 。 一 般 包 括 口令 、 密 钥 .身份 .数据 等 项 的 鉴别 ,系统 通过 对 比 验证 输入 的 数据 是 否 符 
合 预先 设 定 的 参数 ,从 而 实现 对 数据 的 安全 保护 。 

这 种 鉴别 技术 主要 应 用 于 数据 库 管理 系统 中 ,因为 企业 经 营 的 重要 数据 都 需要 保存 
在 一 个 可 靠 的 系统 中 ,所 以 保护 好 企业 数据 库 的 安全 是 非常 重要 的 工作 。 数 据 库 系统 可 
以 根据 不 同 用 户 设置 不 同 的 访问 权限 ,并 对 其 身份 及 权限 的 完整 性 进行 严格 识别 。 

(4) 身份 验证 技术 

身份 验证 是 系统 验证 用 户 是 否 是 合法 身份 的 过 程 。 身 份 验证 包括 两 种 : 数字 签名 机 
制 和 Kerberos 系统 。 

数字 签名 机 制 : 数字 签名 机 制 一 般 采 用 不 对 称 加 密 技术 (后 面 会 详细 介绍 ) 。 数 字 签 
名 可 以 解决 4 种 安全 问题 。 
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。 否认 : 事后 发 送 者 不 承认 文件 是 他 发 送 的 。 

。 伪造 : 有 人 自己 伪造 了 一 份 文 件 , 却 声称 是 某 人 发 送 的 。 

。 冒充 : 冒充 别人 的 身份 在 网 上 发 送 文件 。 

。 算 改 : 接收 者 私自 自 改 文件 的 内 容 。 

数字 签名 机 制 具 有 可 证 实 性 \ 不 可 否认 性 不 可 伪造 性 和 不 可 重用 性 。 数 字 签 名 普遍 
用 于 银行 .电子 商务 等 的 身份 验证 。 

Kerberos 系统 : Kerberos 系统 是 美国 麻 省 理工 学 院 为 分 布 式 计算 机 环境 提供 的 一 
种 对 用 户 双方 进行 身份 验证 的 方法 。Kerberos 系统 的 安全 机 制 在 于 首先 对 发 出 请 求 的 
用 户 进行 身份 验证 ,确认 其 是 否 是 合法 的 用 户 , 如 果 是 合法 的 用 户 ,再 审核 该 用 户 是 否 有 
权 对 他 所 请 求 的 服务 或 主机 进行 访问 ,其 身份 是 建立 在 对 称 加 密 的 基础 上 的 。 

(5) 网 络 防 病毒 技术 

在 网 络 开放 的 环境 下 ,计算 机 病毒 发 展 越 来 越 快 ,并 且 病 毒 种 类 越 来 越 多 ,也 越 来 越 
高 级 复杂 ,对 计算 机 和 网 络 构成 了 巨大 的 威胁 。 例 如 ,著名 的 CIH 病毒 一 时 间 让 全 世界 
近 六 千 万 台 计 算 机 崩溃 ,由 它 直接 或 间接 造成 的 损失 达 数 亿美 元 ,给 社会 造成 了 灾难 性 的 
后 果 , 因 此 要 重视 计算 机 病毒 的 防治 。 网 络 防 病毒 技术 主要 包括 预防 病毒 ,检测 病毒 和 清 
除 病毒 ,具体 实现 的 方法 包括 对 网 络 服务 器 中 的 文件 进行 频繁 地 扫描 和 监测 ,在 工作 站 上 
采用 防 病毒 芯片 和 对 网 络 目 录 及 文件 设置 访问 权限 等 。 

(6) 防火 墙 技术 

防火 墙 是 用 一 个 或 一 组 网 络 设 备 ,包括 硬件 和 软件 ,在 两 个 或 多 个 网 络 间 保 护 一 个 网 
络 不 被 另 一 个 网 络 攻击 的 安全 技术 。 防 火 墙 通常 位 于 内 部 网 或 Web 站 点 与 Internet 之 
间 的 一 个 路 由 器 或 一 台 计 算 机 上 。 防 火 墙 如 同一 个 防盗 门 ,保证 门 内 的 系统 安全 。 在 
Internet 上 ,通过 防火 墙 来 隔离 风险 区 域 与 安全 区 域 的 连接 ,但 不 妨碍 人 们 对 风险 区 域 的 
访问 。 防 火 墙 可 以 监控 进出 网 络 的 通信 数据 , 仅 让 安全 、 核 准 的 信息 进入 ,抵制 对 企业 构 
成 威胁 的 数据 进入 。 

防火 墙 的 主要 技术 包括 数据 包 过 滤 和 应 用 代理 服务 。 

虽然 防火 墙 技术 能 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 道 安全 屏障 ,但 也 存在 一 定 的 
局 限 性 : 不 能 完全 防范 外 部 刻意 的 人 为 攻击 ,不 能 防范 内 部 用 户 攻击 ,不 能 防止 病毒 或 受 
病毒 感染 的 文件 的 传输 。 

(7) 入 侵 检测 技术 

入 侵 检测 (IDS) 通 过 对 计算 机 网 络 或 计算 机 系统 中 若干 关键 点 收集 信息 ,并 对 其 进 
行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检测 
是 防火 墙 的 补充 。 作 为 网 络 安全 的 核心 技术 之 一 ,入 侵 检测 技术 可 以 缓解 访问 隐患 ,弥补 
防火 墙 的 不 足 ,将 网 络 安全 的 各 个 环节 有 机 地 结合 起 来 ,实现 对 用 户 网 络 安全 的 保护 。 


7.2 加 密 技 术 


为 什么 要 对 数据 加 密 呢 ? 对 哪些 数据 加 密 呢 ? 怎样 对 这 些 数 据 加 密 ? 这 些 都 是 在 网 
络 传输 数据 时 需要 知道 的 问题 。 存 放 在 计算 机 系统 中 的 数据 ,每 时 每 刻 都 受到 来 自 各 个 
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方面 的 威胁 。 这 些 威胁 轻 则 会 破坏 数据 的 完整 性 , 重 则 导致 数据 完全 不 可 用 。 数 据 一 旦 
遭 到 破坏 ,对 数据 拥有 者 带 来 的 损失 将 是 无 法 估量 的 。 有 没有 一 种 方法 能 够 较 好 地 保护 
数据 ,使 其 即使 遭 到 攻击 也 能 将 损失 限制 在 最 小 范围 内 呢 ? 

数据 加 密 和 数据 备份 就 是 实现 这 个 目标 的 两 种 最 常用 也 是 最 重要 的 手段 。 前 者 通过 
使 原本 清晰 的 数据 变 得 临 涩 难 懂 , 从 而 实现 对 数据 的 保护 。 而 后 者 则 在 数据 遭 到 破坏 后 ， 
将 数据 恢复 到 最 近 的 一 个 备份 点 来 尽 可 能 减少 数据 遭 到 破坏 的 程度 。 在 数据 备份 的 过 程 
中 ,数据 压缩 是 一 项 非常 有 用 的 技术 , 它 能 够 在 不 影响 数据 可 用 性 和 正确 性 的 前 提 下 大 大 
减少 数据 所 占用 的 磁盘 空间 。 

几乎 任何 网 络 电线 都 可 能 被 窃听 或 监听 ,攻击 者 可 利用 一 些 网 络 监听 程序 或 设备 截 
取 敏 感 数据 包 或 其 他 敏感 数据 包 的 复制 。 假 设 所 有 经 过 网 络 传输 的 信息 在 传输 前 均 被 自 
动 地 加 密 , 则 攻击 者 将 不 能 完成 窃听 ,网 络 分 析 程 序 收集 到 的 数据 包 是 已 加 密 的 数据 。 如 
果 没 有 解密 密 钥 ,攻击 者 就 不 能 解释 该 数据 ,也 就 不 能 知道 数据 里 所 包含 的 真实 信息 。 例 
如 ,利用 加 密 板 或 调制 解 调 器 之 类 的 硬件 ,或 是 利用 位 于 该 传输 的 两 个 合法 末端 的 软件 执 
行 加 密 或 解密 。 

大 多 数 用 户 工 作 的 PC 都 与 网 络 相连 ,机 器 里 包含 了 某 些 攻击 者 很 想得到 的 存储 宝 
藏 (如 某 公 司 的 销售 计划 、 财 务 报表 或 相关 商业 机 密 等 ) 的 硬 磁盘 。 通 过 网 络 对 该 PC 的 
访问 几乎 是 不 可 阻止 的 。 解 决 办 法 是 将 所 有 存储 于 硬 磁 盘 及 办 公 室 中 的 软磁盘 上 的 敏感 
文件 加 密 。 

加 密 技 术 是 网 络 信息 安全 主动 的 ,开放 型 的 防范 手段 ,对 于 敏感 的 、 重 要 的 数据 应 采 
用 加 密 处 理 , 并 且 在 数据 传输 时 也 应 采用 加 密 传输 。 本 节 将 着 重 介绍 信息 加 密 技术 的 一 
般 方法 。 


7.2.1 数据 加 密 的 基本 概念 


数据 加 密 ,就 是 把 原本 能 够 读 懂 、 理 解 和 识别 的 信息 (这 些 信 息 可 以 是 语音 文字、 图 
像 和 符号 等 ) 通 过 一 定 的 方法 处 理 , 使 之 成 为 一 些 星 涩 难 懂 的 、 不 能 很 轻易 明白 其 真正 含 
义 的 或 者 偏离 信息 原意 的 信息 ,从 而 达到 保障 信息 安全 的 过 程 。 

下 面 是 与 数据 加 密 概 念 相 关 的 几 个 重要 的 术语 。 

(1) 明文 (Plaintext,P): 信息 的 原始 形式 ,也 就 是 加 密 前 的 原始 信息 。 明 文 可 以 是 
文本 数字 化 语音 流 或 数字 化 视频 信息 等 。 

(2) 密 文 (Ciphertext,C): 通过 数据 加 密 的 手段 ,将 明文 变换 成 的 星 涩 难 懂 的 信息 称 
为 密 文 。 

(3) 加 密 过 程 (Encryption,E): 将 明文 转变 成 密 文 的 过 程 。 用 于 加 密 的 这 种 数据 变 
换 称 为 加 密 算法 。 

(4) 解密 过 程 (Decryption,D): 加 密 的 逆 过 程 ,即将 密 文 转变 成 明文 的 过 程 。 

(5) 加 密 过 程 和 解密 过 程 需要 遵循 的 一 个 重要 原则 是 : 明文 与 密 文 的 相互 变换 是 可 
道 变换 ,并 且 只 存在 唯一 的 、 无 误差 的 可 逆 变 换 。 加 密 和 解密 是 两 个 相反 的 数学 变换 过 
程 ,都 是 用 一 定 的 算法 实现 的 。 

(6) 密码 体制 : 加 密 和 解密 过 程 都 是 通过 特定 的 算法 来 实现 的 ,这 一 算法 称 为 密码 
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186 体制 。 
(7) 密 钥 (Key): 由 使 用 密码 体制 的 用 户 随机 选取 的 、 唯 一 能 控制 明文 与 密 文 之 间 变 
换 的 关键 参数 。 密 钥 通常 是 一 随机 字符 串 。 
数据 加 密 和 解密 的 过 程 如 图 7-2 所 示 。 


加 密 算法 解密 算法 
通过 网 络 
传输 
明文 Cne ) 密 广 密 文 明文 
密 文 
加 密 密 角 解密 密 角 


7-2 数据 加 密 、 解 密 过 程 示意 图 


7.2.2 对 称 数 据 加 密 技术 


随 着 数据 加 密 技术 的 发 展 ,根据 数据 加 密 的 方式 ,可 以 将 密码 技术 分 为 对 称 数据 加 密 
技术 和 非 对 称 数据 加 密 技术 。 

对 称 加密 , 又 称 为 密 钥 加 密 , 是 指 加 密 和 解密 过 程 均 采 用 同一 把 秘密 钥匙 ,通信 时 双 
方 都 必须 具备 这 把 钥匙 ,并 保证 这 把 钥匙 不 被 泄露 。 一 旦 密 钥 泄露 ,只 要 获得 密 钥 的 人 就 
可 以 利用 这 把 钥 是 加密 或 解密 ,原来 加 密 过 的 密 文 就 不 具有 任何 保密 性 了 。 所 以 对 称 密 
钥 加 密 技术 的 关键 就 是 要 保存 好 密 钥 。 

通信 双方 采用 对 称 加 密 技 术 进行 通信 和 前 ,必须 先 商 定 一 个 密 钥 ,这 种 商定 密 钥 的 过 程 
称 为 分 发 密 钥 。 发 送 方 使 用 这 一 密 钥 ,并 采用 合适 的 加 密 算 法 将 所 要 发 送 的 明文 转变 为 
密 文 ,然后 在 网 络 中 传送 给 接收 方 , 密 文 到 达 接 收 方 后 ,接收 方 用 解密 算法 (通常 是 发 送 方 
使 用 的 加 密 算法 的 逆 运 算 ) ,利用 双方 约定 的 密 钥 将 密 文 转变 为 与 发 送 方 一 致 的 明文 。 

采用 对 称 加 密 技 术 进 行 通信 的 过 程 如 图 7-3 所 示 。 


加 密 算法 
i 
明文 一 Ge 一 密 文 密 文 上 
加 密 密 角 
图 7-3 对 称 加 密 算法 模型 
1. 传统 的 加 密 技术 
(1) 替换 密码 技术 


替换 密码 技术 将 明文 字母 表 中 的 每 个 字符 蔡 换 为 密 文 字母 表 中 的 字符 ,以 达到 隐藏 
明文 的 目的 。 发 送 者 将 明文 中 的 每 一 个 字符 按照 一 定 的 规律 替换 成 密 文中 的 另外 一 个 字 
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符 。 接 收 者 对 接收 到 的 密 文 进行 逆 蔡 换 得 到 明文 。 下 面 介绍 两 种 常用 的 替换 密码 算法 : 
单 表 替 换 密 码 和 多 表 蔡 换 密 码 。 

@ 单 表 替换 技术 。 

如 果 在 蔡 换 的 过 程 中 明文 的 一 个 字符 用 固定 的 一 个 密 文字 符 代替 ,就 称 为 单 表 替 换 
技术 。 最 古老 的 单 表 替 换 密码 大 约 出 现在 公元 前 50 年 ,是 由 罗马 皇帝 朱利叶 。 恺 撤 发 明 
的 一 种 用 于 战 时 秘密 通信 的 方法 ,这 种 被 称 为 恺 撤 密 码 的 技术 将 字母 按 字母 表 的 顺序 排 
列 , 并 将 最 后 一 个 字母 和 第 一 个 字母 连 起 来 构成 一 个 循环 字母 表 序 列 , 明 文中 的 每 个 字母 
用 该 序列 中 在 它 后 面 的 第 三 个 字母 来 代替 ,由 此 形成 密 文 。 这 种 密码 也 称 为 循环 移 位 密 
码 , 如 表 7-1 所 示 。 


表 7-1 恺 撤 密 码 中 26 个 英文 字母 映射 表 


明文 字母 | a b c d e g h i ji k 1 m 
密 文 字母 | D E F G H I | K bb M N O 

明文 字母 | n o p q r s t u v w x z 
密 文字 母 | Q R S 到 U V |iIw|x 入 了 A B C 


这 种 映射 关系 可 以 用 以 下 函数 来 表示 : 
F(P) = (了 十 A)mod 7 
式 中 ,P 表示 明文 字母 ;n 表示 字符 集中 的 字母 个 数 ;k 表示 密 钥 。 
例如 ,明文 P= 二 HOW ARE YOU,k 二 3, 则 有 


F(H)= (8+ 3)mod 26=11=K; 
F(0)= (15+ 3) mod 26= 18=R; 


F(U)= (21+ 3) mod 26 =24=X; 


可 以 得 到 的 密 文 为 KRZDUHBRX。 

对 于 恺 撤 密码 ,解密 的 方法 非常 简单 ,只 要 依据 表 中 的 密 文字 母 和 明文 字母 的 对 应 关 
系 , 从 密 文 字母 找 出 相应 的 明文 字母 即 可 。 因 此 这 种 恺 撤 密码 是 很 容易 被 破解 的 ,最 多 进 
行 25 次 尝试 就 可 以 得 到 破解 后 的 明文 。 由 此 可 见 , 这 种 加 密 算法 的 安全 性 很 差 。 

为 了 提高 加 密 算法 的 安全 性 ,可 以 将 明文 字母 和 密 文字 母 的 映射 关系 复杂 化 ,将 字母 
表 的 顺序 打 乱 ,使 它们 之 间 的 映射 关系 变 成 没有 规律 的 ,即将 整个 字母 表 的 26 个 字母 随 
意 映射 到 其 他 字母 上 。 这 种 改进 后 的 单 表 加 密 算 法 请 大 家 自己 分 析 , 看 看 是 否 能 提高 破 
解 的 难度 ,增加 加 密 的 安全 性 。 

在 明文 中 ,英文 字母 出 现 的 频率 是 有 一 定 分 布 规律 的 ,即使 打 乱 了 字母 表 中 的 顺序 ， 
仍 可 根据 自然 语言 的 统计 特性 分 析 得 到 密 文 和 明文 中 的 对 应 关系 。 例 如 ,在 英语 中 最 常 
用 的 字母 是 e, 其 次 是 t, 再 其 次 是 a、o、n、i。 破 译 这 种 密 文 的 方法 是 先 计算 密 文中 所 有 字 
母 出 现 的 相对 频率 ,并 暂时 假定 出 现 次 数 最 多 的 字母 为 e. 其 次 是 t, 然 后 寻找 如 tXe 结构 
最 多 的 三 字母 组 合 ,假设 tXe 是 英文 中 经 常 出 现 的 定 冠 词 the, 则 X 即 为 h。 以 此 类 推 , 假 
如 thYt 型 的 结构 也 频繁 出 现 , 则 可 能 Y 是 a。 根 据 这 个 方法 ,还 可 找到 两 个 形 如 aZW 结 


多 
187 


4 


计算 机 网 络 管理 与 安全 (第 2 版 ) 


188 ” 构 的 频繁 出 现 的 三 字母 组 合 ,其 相当 大 的 可 能 就 是 and。 根 据 这 种 假设 和 判断 ,能 初步 构 


成 一 个 试探 性 明文 。 

因此 , 单 表 替换 密码 技术 的 安全 性 是 比较 低 的 ,为 防止 密码 被 破译 ,必须 使 密 文中 各 
字母 出 现 的 频率 趋 于 平均 ,如 果 采 用 多 表 替 换 的 密码 技术 ,由 于 明文 中 的 同一 个 字符 在 密 
文中 可 以 表现 为 多 种 字符 ,所 以 在 密 文 中 消除 了 明文 字母 出 现 频率 的 规律 ,大 大 提高 了 加 
密 的 安全 性 。 

@) 多 表 替 换 技术 。 

多 表 替 换 技术 是 由 多 个 简单 代替 表 组 成 的 。 周 期 替代 密码 是 一 种 常用 的 多 表 替 代 密 
码 , 又 称 为 维 吉 尼 亚 (Vignere) 密 码 ,这 种 替代 密码 是 循环 地 使 用 有 限 个 字母 来 实现 蔡 代 
的 一 种 方法 。 若 明文 信息 为 plp2p3…pn, 采 用 m 个 字母 的 序列 klk2k3… km 来 实现 痊 
换 , 那 么 ,pl 将 根据 字母 kl 的 特性 来 替换 ,p2 将 根据 字母 k2 的 特性 来 替换 ,… ,pn 十 1 又 
将 根据 字母 kl 的 特性 来 替换 ,pz 十 2 将 根据 字母 k2 的 特性 来 替换 ,可 用 函数 表示 为 

fla) = (p+ ki mod(n) 

其 中 ,字母 序列 klk2k3…km 就 是 加 密 的 密 钥 。 

这 种 加 密 技术 的 加 密 表 是 以 字母 表 移 位 为 基础 把 26 个 英文 字母 进行 循环 移 位 的 , 排 
列 在 一 起 ,形成 26X26 的 方 阵 ,该 方 阵 被 称 为 维 吉 尼 亚 表 。 实 际 应 用 时 ,往往 把 某 个 容易 
记忆 的 词组 当 作 密 钥 。 维 吉 尼 亚 表 见 表 7-2。 


表 7-2 维 吉 尼 亚 表 


行 列 ABCDEFGHIJKLMNOPQRSTUVWXYZ 行 列 ABCDEFGHIJKLMNOPQRSTUVWXYZ 
A | ABCDEFGHIJKLMNOPQRSTUVWXYZ| N NOPQRSTUVWXYZABCDEFGHIJKLM 
B | BCDEFGHIJKLMNOPQRSTUVWXYZA | O | OPQRSTUVWXYZABCDEFGHIJKLMN 
C CDEFGHIJKLMNOPQRSTUVWXYZAB P PQRSTUVWXYZABCDEFGHIJKLMNO 
D | DEFGHIJKLMNOPQRSTUVWXYZABC | Q | QRSTUVWXYZABCDEFGHIJKLMNOP 
E EFGHIJKLMNOPQRSTUVWXYZABCD | R RSTUVWXYZABCDEFGHIJKLMNOPQ 
F FGHIJKLMNOPQRSTUVWXYZABCDE S STUVWXYZABCDEFGHIJKLMNOPQR 
G | GHIJKLMNOPQRSTUVWXYZABCDEF | T TUVWXYZABCDEFGHIJKLMNOPQRS 
H HUKLMNOPQRSTUVWXYZABCDEFG | TU UVWXYZABCDEFGHIJKLMNOPQRST 
I IJKLMNOPQRSTUVWXYZABCDEFGH V VWXYZABCDEFGHIJKLMNOPQRSTU 
J JKLMNOPQRSTUVWXYZABCDEFGHI | W | WXYZABCDEFGHIJKLMNOPQRSTUV 
K | KLMNOPQRSTUVWXYZABCDEFGH]IJ S XYZABCDEFGHIJKLMNOPQRSTUVW 
L LMNOPQRSTUVWXYZABCDEFGHIJK 车 YZABCDEFGHIJKLMNOPQRSTUVWS 
M | MNOPQRSTUVWXYZABCDEFGHIJKL 2Z ZABCDEFGHIJKLMNOPQRSTUVWSY 


例如 ,使 用 维 吉 尼 亚 密码 加 密 明 文 HOW ARE YOU ,使 用 的 密 钥 为 KEY, 加 密 过 程 
如 下 : 给 一 个 信息 加 密 时 ,只 要 把 密 钥 反复 写 在 明文 下 面 ,每 个 明文 字母 下 面 对 应 的 密 钥 
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字母 就 说 明 该 明文 字母 应 该 用 维 吉 尼 亚 表 的 哪 一 行进 行 加 密 。 

明文 HOW ARE YOU 

密 钥 : KEY KEY KEY 

密 文 : RSU KVC ISS 

解密 时 ,以 密 钥 字母 选择 哪 一 行 ,从 这 一 行 中 找到 密 文 字母 ,那么 密 文 字母 所 在 的 列 
对 应 的 就 是 明文 字母 了 。 

多 表 替 换 密码 技术 解决 了 单 表 替 换 密码 技术 中 的 不 安全 性 。 对 于 同一 个 明文 字母 ， 
由 于 对 应 的 密 钥 字 母 不 同 ,将 得 到 不 同 的 密 文字 母 ,这 样 就 在 密 文 中 消除 了 明文 字母 出 现 
频率 的 规律 了 。 但 多 表 替 换 密码 也 不 是 万 无 一 失 的 ,只 要 密码 分 析 员 拥有 足够 数量 的 密 
文 样本 ,这 个 算法 就 是 可 以 破译 的 ,通常 可 以 通过 增加 密 钥 的 长 度 来 增加 破译 的 难度 。 

(2) 置换 密码 技术 

置换 密码 技术 是 通过 替换 明文 中 的 字母 来 达到 隐藏 真实 信息 的 目的 的 。 换 位 密码 技 
术 是 通过 改变 明文 字母 的 排列 次 序 来 达到 加 密 的 目的 的 , 它 把 明文 中 的 字母 重新 排列 , 字 
母 本 身 不 变 , 但 位 置 变 了 。 例 如 : 把 明文 中 的 字母 顺序 倒 过 来 写 ,然后 以 固定 长 度 的 字母 
组 发 送 或 记录 。 

明文 HOW ARE YOU 

密 文 : UOY ERA WOH 

最 常用 的 换 位 密码 是 列 换 位 密码 。 下 面 来 详细 说 明 列 换 位 密码 的 工作 原理 。 列 换 位 
加 密 算 法 中 ,将 明文 按 行 排列 到 一 个 矩阵 中 (和 矩阵 的 列 数 等 于 密 钥 字母 的 个 数 , 行 数 以 够 
用 为 准 , 如 果 最 后 一 行 不 全 ,可 以 用 不 常 使 用 的 字符 如 X 等 填 满 ) ,然后 再 按照 密 钥 各 个 
字母 大 小 的 顺序 排出 列 号 ,以 列 的 顺序 将 矩阵 中 的 字母 读 出 ,就 构成 了 密 文 。 

密 钥 : 4312567 

明文 : CAN YOU UNDERSTAND 

上 述 明文 的 列 换 位 加 密 算 法 演示 如 表 7-3 所 示 。 


表 7-3 列 换 位 加 密 算法 演示 


密 钥 4 3 3 2 5 6 
C A N Y O U W 
明 文 N D E R S T A 
N D X X X X X 


由 上 面 的 表格 可 知 ,按照 密 钥 4312567 的 列 顺序 . 按 列 写 出 该 矩阵 中 的 字母 。 先 
从 第 一 列 中 得 到 NEX, 从 第 二 列 中 得 到 YRX, 以 此 类 推 , 得 到 的 密 文 为 
NEXYRXADDCNNOSXUTXUAX。 

纯 置 换 密码 易于 识别 ,因为 它 具 有 与 原 明文 相同 的 字母 频率 。 对 于 刚才 显示 的 列 变 
换 的 类 型 ,密码 分 析 相 当 直 接 , 将 这 些 密 文 排列 在 一 个 矩阵 中 ,并 依次 改变 行 的 位 量 。 双 
字母 组 和 三 字母 组 频率 表 能 够 派 上 用 场 。 

通过 执行 多 次 置换 ,置换 密码 的 安全 性 能 够 有 较 大 的 改观 ,其 结果 是 使 用 更 为 复杂 的 
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190 ”排列 , 它 不 容易 被 重 构 。 因 此 ,如 果 前 述 消 息 使 用 相同 的 算法 重 加 密 , 则 如 表 7-4 所 示 。 
表 7-4 二 次 列 换 位 加 密 算法 演示 


密 钥 4 3 . 2 6 7 
N E 江 ¥ R 区 A 
明 文 D D € N N 0 S 
流 U T 莹 U A 其 


密 文 : XCTYNXEDUNDXRNUXOAASX 

为 了 观察 这 种 双重 置换 的 结果 ,用 原 明 文 消息 中 的 字母 所 在 的 位 置 来 指定 该 字母 。 
在 该 消息 中 有 21 个 字母 CAN YOU UNDERSTANDXXXXX ,传输 的 字母 顺序 是 

01 02 03 04 05 06 07 

08 09 10 11 12 13 14 

15 16 17 18 19 20 21 

在 进行 第 一 次 置换 后 ,得 到 NEXYRXADDCNNOSXUTXUAX。 

03 0 WW 0%4 WL 18 02 

09 16 01 08 15 05 12 

19 06 13 20 07 14 21 

它 仍 有 某 些 规律 的 结构 。 但 在 第 二 次 变换 后 ,得 到 XCTYNXEDUNDXRNUXOAASX。 

17 04 10 03 11 18 02 

01 08 16 09 15 05 12 

13 20 06 19 07 14 21 

此 时 结构 性 的 排列 少 得 多 ,密码 分 析 也 难得 多 。 

2. 现代 对 称 加 密 算法 DES 

(1) DES 算法 及 其 基本 原理 

传统 的 加 密 方法 都 要 求 加 密 算法 和 密 钥 严格 保密 ,这 不 利于 用 计算 机 来 实现 对 信息 
的 加 密 , 因 为 对 每 个 加 密 算法 都 需要 编写 处 理 程序 .并 且 该 程序 必须 保密 ,为 此 提出 了 数 
据 加 密 处 理 算法 标准 化 的 问题 。 

数据 加 密 标 准 (Data Encryption Standard,DES) 是 美国 国家 标准 局 研究 的 除 国防 部 
以 外 的 其 他 部 门 的 计算 机 系统 的 数据 加 密 标准 。 虽 然 从 DES 出 现 后 又 产生 了 许多 加 密 
算法 ,但 DES 仍然 是 对 称 加 密 算法 中 最 广泛 使 用 和 流行 的 一 种 加 密 算法 。 

与 传统 的 密码 技术 相 比 ,它们 的 基本 原理 一 样 ,其 密 钥 是 保密 的 .但 加 密 算法 是 可 以 
公开 的 。 传 统 的 技术 一 般 采 用 简单 的 算法 并 依靠 长 密 钥 ,而 现代 的 加 密 技术 其 密码 算法 
十 分 复杂 ,即使 破译 者 得 到 算法 ,没有 密 钥 也 几乎 不 能 破译 。 

DES 是 一 个 分 组 加 密 算法 ,采用 两 种 基本 加 密 组 块 替代 和 换 位 这 些 技术 ,通过 反复 
依次 应 用 来 提高 加 密 算法 的 安全 性 .经 过 总 共 16 轮 的 替代 和 换 位 后 ,使 密码 分 析 者 无 法 
获得 该 算法 的 一 般 特性 以 外 更 多 的 信息 。 
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DES 以 64 位 数据 为 分 组 单位 对 数据 加 密 ,64 位 一 组 的 明文 从 算法 的 一 端 输入 ， 
64 位 的 密 文 从 另 一 端 输出 。DES 是 一 个 对 称 算法 ,加 密 和 解密 用 的 是 同一 算法 ( 除 密 钥 
编排 的 顺序 不 同 以 外 ) 。 密 钥 的 长 度 为 56 位 , 密 钥 通常 为 64 位 的 数 , 但 每 个 第 8 位 都 用 
作 奇 偶 校 验 ,可 以 忽略 。 密 钥 可 以 是 任意 的 56 位 的 数 , 且 可 在 任意 的 时 候 改变 。 

DES 加 密 算法 如 图 7-4 所 示 ,64 位 数据 经 初始 变换 后 被 置换 。64 位 密 钥 去 掉 其 第 
8、 第 16、 第 24、…、 第 64 位 后 压缩 至 56 位 (去 掉 的 那些 位 被 视 为 


奇偶 校 验 位 ,不 含 密 钥 信息 ) ,然后 就 开始 各 轮 运算 。64 位 数据 经 
过 初始 置换 后 被 分 为 左 、 右 各 32 位 两 部 分 。56 位 的 密 钥 经 过 左 i 
移 若 干 位 和 置换 后 取出 48 位 密 钥 子 集 供 不 同 的 加 密 迁 代 使 用 ,用 


作 加 密 的 密 钥 子 集 记 为 KG)、K(2)、…、K(16)。 ET 
在 每 一 轮 迭 代 过 程 中 , 先 通 过 重复 某 些 位 将 32 位 的 右 半 部 分 


| 

数据 扩展 为 48 位 ,然后 密 钥 子 集中 的 一 个 子 密 钥 K(i) 与 数据 的 未 置换 
右 半 部 分 进行 异 或 运算 ,得 到 的 48 位 的 结果 通过 S 盒 压 缩 为 
32 位 。 再 与 数据 左 半 部 分 的 32 位 异 或 ,其 结果 作为 这 一 轮 迭 代 64 位 密 文 
的 输出 数据 的 右 半 部 分 ;结合 之 前 的 右 半 部 分 作为 这 一 轮 迭 代 的 
输出 数据 的 左 半 部 分 。 这 一 轮 输出 的 64 位 数据 结果 作为 下 一 轮 
的 待 加 密 数据 ,这 种 迭代 要 重复 16 次 。 但 最 后 一 轮 加 密 和 迭代 之 后 ,进行 逆 初 始 置换 运算 ， 
它 是 初始 置换 的 逆 运 算 ,最 后 得 到 64 位 密 文 。 

(2) DES 解密 

DES 算法 的 解密 算法 与 加 密 算法 可 使 用 相同 的 算法 ,两 者 唯一 的 不 同 之 处 是 密 钥 的 
次 序 相 反 。 如 果 各 轮 加 密 密 钥 分 别 是 Kl1、K2、K3、…、K16, 那 么 解密 密 钥 就 是 K16、 
K15、K14、…、K1。 各 轮 产生 密 钥 的 算法 也 是 循环 的 。 

(3) DES 算法 的 安全 性 分 析 

DES 算法 是 公开 的 ,其 安全 性 完全 取决 于 密 钥 的 安全 性 。 在 该 算法 中 ,由 于 经 过 了 
16 轮 的 代替 、 置 换 . 异 或 和 循环 移动 后 ,密码 分 析 者 无 法 通过 密 文 获得 该 算法 的 一 般 特 性 
以 外 的 更 多 信息 。 对 于 这 种 算法 ,唯一 的 破解 办 法 是 尝试 所 有 可 能 的 密 钥 。 对 于 56 位 长 
度 的 密 钥 ,可 能 的 组 合 达到 25 一 7.2X105 种 ,用 穷 举 法 来 确定 某 一 个 密 钥 的 机 会 是 很 
小 的 。 

可 见 , 对 于 DES 算法 的 破解 是 比较 困难 的 。 为 了 更 进一步 提高 DES 算法 的 安全 性 ， 
可 以 采用 加 长 密 钥 的 方法 。 例 如 IDEA (International Data Encryption Algorithm) 算 法 
将 密 钥 的 长 度 加 大 到 128 位 ,每 次 对 64 位 的 数据 组 块 进 行 加 密 ,提高 了 算法 的 安全 性 。 


7.2.3 非 对 称 加 密 技 术 


在 对 称 加 密 算 法 中 ,加 密 算法 简单 .加密 速度 快 , 密 钥 简 短 ,破解 起 来 比较 困难 。 但 
是 ,由 于 对 称 加 密 算 法 的 安全 性 完全 依赖 于 密 钥 的 保密 性 ,在 公开 的 计算 机 网 络 上 传送 和 
保管 密 钥 就 成 为 一 个 严峻 的 问题 。 从 传统 密码 出 现 一 直到 现代 密码 学 ,几乎 所 有 的 密码 
编码 系统 都 建立 在 基本 的 蔡 代 和 置换 工具 的 基础 上 。 


图 7-4 DES 加 密 算法 
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公开 密 钥 密码 编码 学 则 与 以 前 的 所 有 方法 都 截然 不 同 。 一 方面 ,公开 密 钥 算法 基于 
数学 函数 而 不 是 蔡 代 和 置换 ; 另 一 方面 ,更 重要 的 是 ,公开 密 钥 密码 编码 学 是 非 对 称 的 , 它 
使 用 两 个 不 同 的 密 钥 ,而 对 称 的 常规 加 密 则 只 使 用 一 个 密 钥 。 

非 对 称 加 密 技术 ,也 就 是 公开 密 钥 算法 很 好 地 解决 了 传送 和 保管 密 钥 这 个 问题 。 它 
的 加 密 密 钥 和 解密 密 钥 完全 不 同 ,不 能 通过 加 密 密 钥 推算 出 解密 密 钥 。 之 所 以 称 为 公开 
密 钥 算 法 ,是 因为 其 公开 密 钥 (Public Key) ,简称 公 钥 是 公开 的 ,任何 人 都 能 通过 查找 相 
应 的 公开 文档 得 到 ,用 它 对 明文 加 密 , 而 另 一 个 密 钥 是 私有 密 钥 (Private Key) ,也 称 为 私 
钥 ,是 需要 保密 的 ,只 有 得 到 相应 的 私有 密 钥 才 能 解密 信息 。 

1. 公开 密 钥 系统 的 原理 

我 们 知道 常规 加 密 的 密 钥 分 配 要 求 通信 双方 已 经 共享 了 一 个 密 钥 ,这 个 密 钥 已 经 以 
某 种 方式 分 配给 他 们 ;或 者 要 用 一 个 密 钥 分 配 中 心 。 

公开 密 钥 算法 用 一 个 公开 密 钥 进行 加 密 ,而 用 另 一 个 不 同 但 相关 的 私有 密 钥 进行 解 
密 。 仅 仅 知 道 密码 算法 和 公开 密 钥 而 要 确定 私有 密 钥 ,在 计算 机 上 是 不 可 能 完成 的 。 另 
外 ,RSA 算法 还 具有 下 列 特性 : 两 个 相关 密 钥 中 的 任何 一 个 都 可 以 用 作 加 密 而 让 另外 一 
个 用 作 解 密 。 

公开 密 钥 加 密 过 程 的 重要 步骤 如 下 : 

(1) 网 络 中 的 每 个 用 户 都 产生 一 对 用 于 加 密 和 解密 的 密 钥 , 即 公 钥 和 私 钥 。 

(2) 每 个 用 户 都 把 自己 的 公 钥 放 进 一 个 登记 本 或 者 文件 来 公布 它 , 另 一 个 密 钥 需要 
自己 妥善 保存 ,不 能 让 第 二 个 用 户 知道 。 

(3) 如 果 A 想 给 B 发 送 一 个 报 文 ,他 就 用 B 的 公开 密 钥 加 密 这 个 报 文 。 

(4) B 收 到 这 个 报 文 后 就 用 自己 的 私有 密 钥 解密 报 文 ,其 他 所 有 收 到 这 个 报 文 的 人 
都 无 法 解密 它 ,因为 只 有 B 才 有 B 的 私有 密 钥 。 

公开 密 钥 算法 示意 图 如 图 7-5 所 示 。 使 用 这 种 方法 ,所 有 用 户 都 可 以 获得 所 有 其 他 
用 户 的 公开 密 钥 ,而 各 用 户 的 私有 密 钥 由 各 用 户 在 本 地 产生 ,因此 不 需要 在 网 络 上 传送 分 
配 。 只 要 能 保密 各 自 的 私有 密 钥 , 收 到 的 通信 内 容 就 是 安全 的 。 在 任何 时 候 , 用 户 都 可 以 
更 改 他 的 私有 密 钥 并 公开 相应 的 公开 密 钥 来 蔡 代 它 原来 的 公开 密 钥 。 


| B 的 私有 密 钥 


国 -[ 


加 密 算法 (如 RSA) 
图 7-5 公开 密 钥 算法 示意 图 
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对 称 加 密 算法 和 非 对 称 加 密 算法 的 比较 见 表 7-5。 
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表 7-5 ”对称 加 密 算 法 和 非 对 称 加 密 算法 的 比较 


对 称 加 密 


非 对 称 加 密 


运行 条 件 : 
(1) 加 密 和 人 解密 使 用 同一 个 密 钥 和 同一 个 算法 
(2) 发 送 方 和 接收 方 必须 共享 密 钥 和 算法 


运行 条 件 : 

(1) 用 同一 个 算法 进行 加 密 和 解密 ,而 密 钥 有 一 
对 ,其 中 一 个 用 于 加 密 , 另 一 个 用 于 解密 

(2) 发 送 方 和 接收 方 每 一 方 拥 有 一 对 相互 匹配 的 
密 钥 中 的 一 个 


安全 条 件 : 

(1) 密 钥 必须 保密 

(2) 如 果 不 掌握 其 他 信息 ,要 想 解密 报 文 是 不 可 
能 或 者 至 少 是 不 现实 的 

(3) 知道 所 用 的 算法 加 上 密 文 的 样本 必须 不 足以 


安全 条 件 : 

(1) 两 个 密 钥 中 的 私 钥 必须 保密 

(2) 如 果 不 掌握 其 他 信息 ,要 想 解密 报 文 是 不 可 
能 或 者 至 少 是 不 现实 的 

(3) 知道 所 用 的 算法 ,加 上 一 个 密 钥 ,再 加 上 密 文 


确定 密 钥 的 样本 必须 不 足以 确定 另 一 个 密 钥 


2. RSA 算法 及 其 基本 思想 

RSA 算法 是 在 1977 年 由 美国 麻 省 理工 学 院 的 Ron Rivest, Adi Shamir 和 Len 
Adleman 三 位 教授 研制 并 于 1978 年 首次 发 表 的 一 种 算法 ,算法 的 名 字 取 自 三 位 教授 的 
名 字 。RSA 算法 是 第 一 个 公开 密 钥 算法 ,是 至 今 为 止 最 完善 的 公开 密 钥 算法 之 一 。 

RSA 是 一 种 分 组 密码 ,其 中 的 明文 和 密 文 都 是 从 0 到 "一 1 之 间 的 整数 。 下 面 通过 
具体 的 例子 说 明 RSA 算法 中 密 钥 生成 的 过 程 。 

(1) 用 户 A 秘密 选择 两 个 大 素数 (只 能 被 1 和 自己 本 身 整 除 的 整数 ) ,为 了 计算 方便 ， 
假设 选择 素数 p 二 7 和 gq 二 17。 

(2) 计算 n=pXg=7X17=119。 

(3) 计算 出 的 欧 拉 函数 $8(n)= 二 (p 一 1)X(g 一 1)= 二 6X16 一 96。 

(4) 选择 一 个 e, 它 小 于 $(m) 且 与 $(n) 一 96 互 素 。 这 样 的 数 非常 多 ,这 里 取 e 二 5。 

(5) 求 出 4, 使 得 (dXe)modg(n)= 二 1, 即 (dX5)mod 96 二 1, 可 得 到 d= 二 77。 

结果 用 户 A 得 到 的 公开 密 钥 为 {e,n}, 即 {5,119); 私 有 密 钥 为 {d,n), 即 {77,119)。 
用 户 A 得 到 公开 密 钥 和 私有 密 钥 后 ,把 公开 密 钥 告诉 用 户 B, 用 户 B 用 用 户 A 的 公开 密 
钥 对 发 送 的 信息 进行 加 密 ,然后 发 送 给 用 户 A。 用 户 A 再 用 自己 的 私有 密 钥 对 信息 进行 
解密 。 

例如 ,用 户 B 要 发 送 明文 为 M=19 的 信息 给 用 户 A, 就 要 通过 以 下 公式 计算 得 到 密 
文 : C 王 Memod "一 195mod 119 一 66。 

用 户 也 将 密 文 66 发 送 给 用 户 A, 用 户 A 在 接收 到 密 文 信息 后 ,可 以 使 用 私 钥 恢复 出 
明文 : M 二 Cimod "一 667mod 119 一 19。 

从 上 例 中 可 以 看 出 ,从 p 和 g 计算 的 过 程 非常 简单 ,但 从 二 119 找 出 p==7,g= 二 17 
还 是 不 太 容 易 的 。 在 实际 应 用 中 ,p 和 4g 将 是 非常 大 的 素数 (上 百 位 的 十 进 制 数 ) ,那样 ， 
通过 nn 找到 p 和 g 的 难度 将 非常 大 ,甚至 近乎 不 可 能 。RSA 算法 的 安全 性 基于 大 数 分 解 
的 难度 ,其 公 钥 是 一 对 大 素数 的 函数 ,从 一 个 公 钥 和 密 文 中 恢复 出 明文 的 难度 等 价 于 分 解 
两 个 大 素数 的 乘积 。 
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在 使 用 公开 密 钥 系统 之 前 ,每 个 参与 者 都 必须 产生 一 对 密 钥 ,这 包括 下 列 任务 : 

(1) 确定 两 个 素数 p 和 g。 任何 潜在 的 敌对 方 都 可 能 知道 n= pg 的 值 ,为 了 防止 通 
过 穷 举 式 方法 发 现 p 和 g ,这 些 素数 必须 从 足够 大 的 集合 中 选取 ,并 且 用 来 找到 大 素数 的 
方法 必须 相当 有 效 。 

(2) 选择 e 或 者 d 并 且 计算 另外 一 个 。 

3. RSA 算法 的 安全 性 分 析 

RSA 算法 的 安全 性 取决 于 从 中 分 解 出 p 和 g 的 困难 程度 。 因 此 ,如 果 能 够 找 出 有 
效 的 因数 分 解 方法 ,RSA 算法 的 安全 性 就 没有 保证 了 。 密 码 分 析 学 家 和 密码 编码 学 家 一 
直 在 寻找 有 效 的 因数 分 解 方法 来 破解 RSA 算法 。 随 着 计算 机 硬件 水 平 的 发 展 ,对 一 个 数 
据 进行 RSA 加 密 的 速度 已 越 来 越 快 ;对 n 进行 因数 分 解 的 速度 也 越 来 越 快 ,所 花费 的 时 
间 越 来 越 短 。 

4. 密 钥 的 管理 

(1) 公开 密 钥 的 分 配 

密 钥 管理 主要 处 理 密 钥 从 产生 到 最 终 弃 之 不 用 的 整个 过 程 中 的 有 关 问 题 ,包括 密 钥 
的 产生 、 存 储 、 导 入 、 分 配 \ 保 护 、 丢 失 和 销毁 等 , 密 钥 管理 的 主要 任务 就 是 保证 在 公共 网 络 
上 安全 传递 密 钥 而 不 被 窍 取 。 非 对 称 加 密 系 统 的 一 个 主要 应 用 是 解决 对 称 加密 系 统 中 对 
密 钥 的 保密 和 分 配 问题 。 

分 配 公开 密 钥 的 技术 方案 主要 有 下 列 4 类 。 

@ 公开 宣布 : 利用 一 个 应 用 广泛 的 公开 密 钥 加 密 算法 ,如 RSA, 任 何 参 与 者 都 可 以 
将 消息 用 RSA 算法 得 到 的 公开 密 钥 发 送 给 任何 一 个 参与 者 ,或 者 广播 给 相关 人 群 ,并 将 
参与 者 的 公开 密 钥 附加 在 他 们 发 送 给 公开 论坛 的 报 文中 。 这 个 方法 虽然 很 方便 ,但 存在 
一 个 致命 的 缺陷 : 任何 人 都 可 以 依靠 并 利用 这 样 的 公开 告示 得 到 公开 密 钥 ,缺乏 监督 机 
制 来 约束 。 如 用 户 B 可 能 假装 是 用 户 A, 并 发 送 一 个 公开 密 钥 给 另 一 个 参与 者 C 或 者 广 
播 这 样 一 个 公开 密 钥 ,直到 用 户 A 发 觉 了 伪造 并 警告 其 他 参与 者 之 前 ,伪造 者 B 都 可 以 
阅读 所 有 发 给 A 的 报 文 ,还 可 以 将 伪造 的 密 钥 用 于 鉴别 。 

@ 公开 目录 : 通过 一 个 可 以 得 到 的 公开 密 钥 动态 目录 就 能 够 取得 更 大 的 安全 性 ,对 
公开 目录 的 维护 和 分 配 必须 由 一 个 受信 任 的 系统 或 组 织 来 负责 ,就 像 每 个 参与 者 手中 都 
有 一 个 公开 的 电话 短 , 自 己 的 公开 密 钥 都 在 这 个 目录 上 并 可 供 人 查询 。 例 如 ,用 户 A 要 
发 送信 息 给 用 户 B, 先 从 公开 密 钥 的 目录 上 查 到 用 户 B 的 公开 密 钥 。 用 户 A 就 可 以 用 用 
户 B 的 公开 密 钥 把 要 发 送 的 信息 加 密 再 发 送 给 B。 这 个 方案 明显 比 各 个 参与 者 单独 进行 
公开 告示 更 加 安全 ,但 是 它 仍然 有 弱点 。 如 果 一 个 敌对 方 成 功 地 得 到 或 者 计算 出 了 目录 
管理 机 构 的 私有 密 钥 ,敌对 方 就 可 以 堂而皇之 地 散发 伪造 的 公开 密 钥 ,并 假装 成 任何 一 个 
参与 者 并 窃听 发 送 给 该 参与 者 的 报 文 。 另 一 个 达到 同样 目的 的 方法 是 敌对 方 自 改 管理 机 
构 维 护 的 记录 。 

@ 公开 密 钥 管理 机 构 : 通过 更 严密 地 控制 公开 密 钥 动态 目录 中 的 分 配 可 以 使 公开 
密 钥 分 配 更 安全 。 假 定 一 个 中 心 管理 机 构 维护 一 个 所 有 参与 者 的 公开 密 钥 动态 目录 。 另 
外 ,每 个 参与 者 都 知道 管理 机 构 的 一 个 公开 密 钥 ,而 只 有 管理 机 构 才 知 道 每 个 参与 者 的 私 
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有 密 钥 。 用 户 A 给 公开 密 钥 管理 机 构 发送 一 个 带 时 间 戳 的 报 文 , 其 中 包含 对 于 B 的 当前 
公开 密 钥 的 请 求 。 管 理 机 构 以 一 个 使 用 它 的 私有 密 钥 加 密 的 报 文 进 行 响应 ,因为 A 能 够 
使 用 管理 机 构 的 公开 密 钥 解密 报 文 ,因此 A 可 以 确信 这 个 报 文 来 自 管理 机 构 , 报 文中 包 
括 B 的 公开 密 钥 。A 存储 B 的 公开 密 钥 并 使 用 它 加 密 一 个 发 给 B 的 报 文 。B 可 通过 同 
样 的 方式 得 到 A 的 公开 密 钥 。A 和 B 就 可 以 开始 相互 之 间 的 秘密 信息 交互 了 。 

公开 密 钥 管理 机 构 可 能 会 由 于 大 量 用 户 请 求 , 而 使 系统 无 法 同时 满足 用 户 的 要 求 , 因 
为 一 个 用 户 对 于 他 所 希望 联系 的 其 他 用 户 都 必须 借助 于 管理 机 构 才能 得 到 公开 密 钥 。 同 
样 ,管理 机 构 所 维护 的 名 字 和 公开 密 钥 目录 也 可 能 被 自 改 。 

@ 公开 密 钥 证 书 : 采用 这 种 方法 如 同 直 接 从 公开 密 钥 管理 机 构 得 到 密 钥 一 样 可 靠 。 
每 个 证 书包 含 一 个 公开 密 钥 以 及 其 他 信息 , 它 由 一 个 证 书 管理 机 构 制 作 , 并 发 给 具有 相 匹 
配 的 私有 密 钥 的 参与 者 。 一 个 参与 者 通过 传输 它 的 证 书 将 其 密 钥 信息 传送 给 另 一 个 参与 
者 ,其 他 参与 者 可 以 验证 证 书 是 否 是 管理 机 构 制 作 的 。 每 个 参与 者 都 向 证 书 管理 机 构 提 
出 申请 ,提供 一 个 公开 密 钥 并 请 求 一 个 证 书 。 申 请 必须 是 面对面 的 或 者 通过 某 种 安全 的 
经 过 鉴别 的 方式 进行 。 参 与 者 可 以 把 自己 的 证 书 发 送 给 任何 其 他 的 参与 者 ,接收 者 使 用 
管理 机 构 的 公开 密 钥 将 证 书 解 密 , 对 证 书 进 行 验 证 。 因 为 这 个 证 书 只 能 以 管理 机 构 的 公 
开 密 钥 进 行 解读 ,这 就 验证 了 证 书 的 确 来 自 证 书 管理 机 构 。 证 书 中 会 告诉 接收 者 证 书 接 
收 者 的 名 字 和 公开 密 钥 。 最 后 ,时 间 截 验 证 了 证 书 的 实效 性 。 时 间 戳 防止 了 参与 者 的 私 
有 密 钥 被 对 方 获知 。A 产生 一 个 新 的 私有 /公开 密 钥 并 向 证 书 管理 机 构 申 请 一 个 新 的 证 
书 , 而 敌对 方 将 老 的 证 书 重 放 给 B, 如 果 B 用 被 泄露 的 私有 密 钥 对 应 原 公开 密 钥 加 密 报 
文 ,敌对 方 就 可 以 解读 这 些 报 文 。 

私有 密 钥 的 泄露 比较 像 信 用 卡 丢 失 。 持 卡 人 挂失 信用 卡号 码 , 但 是 在 所 有 可 能 的 通 
信 方 都 知道 旧 的 信用 卡 失 效 之 前 仍然 有 和 危险。 如 果 一 个 证 书 过 分 陈旧 ,就 可 以 认为 它 已 
经 过 期 。 

(2) 秘密 密 钥 的 公开 密 钥 加 密 分 配 

一 旦 公开 密 钥 已 经 分 配 或 者 已 经 可 以 得 到 ,就 可 以 进行 安全 通信 ,阻止 窃听 、 算 改 或 
者 其 他 的 攻击 行为 。 因 为 公开 密 钥 加 密 的 速度 相对 较 慢 ,很 少 有 用 户 愿意 完全 用 公开 密 
钥 加 密 进行 通信 。 因 此 ,更 合理 的 做 法 是 将 公开 密 钥 加 密 当 作 一 个 分 配 常规 加 密 所 用 的 
秘密 密 钥 工具 。 

简单 的 秘密 密 钥 分 配 过 程 如 下 : A 先 产 生 一 个 私有 /公开 密 钥 对 ,然后 给 B 传输 一 个 
报 文 ,其 中 包含 A 的 公开 密 钥 和 一 个 标识 符 ID。B 产生 一 个 秘密 密 钥 ,并 将 其 用 A 的 
公开 密 钥 加 密 后 传输 给 A。A 用 私有 密 钥 来 恢复 这 个 秘密 密 钥 。A 和 B 现在 就 可 以 使 
用 常规 加 密 用 秘密 密 钥 进行 安全 通信 了 。 信 息 通信 和 完成 以 后 ,A 和 B 都 丢弃 这 个 秘密 密 
钥 。 这 种 方式 可 以 将 获得 密 钥 的 危险 减 小 到 最 低 程度 ,但 是 这 个 方式 容易 受到 主动 攻 
击 。 如 果 一 个 敌对 方 下 控制 了 中 间 的 通信 信道 ,结果 是 A 和 B 都 得 到 了 KK, 并 且 不 知道 
玉 也 被 下 获知 。A 和 也 使 用 秘密 密 钥 进行 信息 交互 时 ,E 不 用 主动 干预 通信 信道 而 只 需 
简单 地 窃听 。 因 为 知道 了 秘密 密 钥 ,E 可 以 解密 所 有 的 报 文 , 而 A 和 B 都 不 知道 有 这 个 
漏洞 存在 。 这 种 简单 的 协议 仅仅 在 只 存在 窃听 的 信道 环境 中 可 以 使 用 。 
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7.3 数字 签名 和 报 文 鉴别 


7.3.1 数字 签名 


身份 验证 服务 可 以 确保 一 个 通信 是 可 信 的 。 在 诸如 产生 一 个 警告 或 警报 信号 的 单个 
消息 的 情况 下 ,鉴别 服务 的 功能 是 能 向 接收 方 保证 该 消息 发 送 方 的 真实 身份 。 在 诸如 一 
个 终端 与 一 台 主 机 连接 这 样 一 个 正在 进行 的 交互 情况 下 ,鉴别 服务 涉及 两 个 方面 。 首 先 ， 
在 连接 发 起 时 ,该 服务 确保 这 两 个 实体 是 可 信 的 ( 即 每 个 实体 都 的 确 是 它们 宣称 的 那个 实 
体 ) 。 其 次 ,该 服务 必须 确保 该 连接 不 被 干扰 ,使 得 第 三 方 不 能 假冒 这 两 个 合法 方 中 的 任 
何 一 个 来 达到 未 授权 传输 或 接收 的 目的 。 

在 需要 通过 网 络 进行 通信 的 环境 中 ,会 遇 到 以 下 某 种 攻击 。 

(1) 泄露 : 将 报 文 内 容 透露 给 没有 拥有 合法 密 钥 的 任何 人 或 相关 过 程 。 

(2) 伪装 : 敌 方 伪造 一 条 报 文 却 声称 它 源 自己 授权 的 终端 。 另 外 ,还 包括 由 假 的 报 
文 接收 者 对 收 到 的 报 文 发 回 假 确认 .或 者 不 予 接收 。 

(3) 算 改 : 算 改 报 文 的 内 容 。 

(4) 抵赖 : 接收 者 否认 收 到 某 报 文 或 发 送 者 否认 发 过 某 报 文 。 

在 计算 机 网 络 上 进行 通信 时 ,不 像 书信 或 文件 传送 那样 ,可 以 通过 亲笔 签名 或 印章 来 
确认 身份 。 经 常会 发 生 这 样 的 情况 : 发 送 方 不 承认 自己 发 送 过 某 一 个 文件 ;接收 方 伪造 
一 份 文件 ,声称 是 对 方 发 送 的 ;接收 方 对 接收 到 的 文件 进行 算 改 ,等 等 。 那 么 ,如 何 对 网 络 
上 传送 的 文件 进行 身份 验证 呢 ? 这 就 是 数字 签名 所 要 解决 的 问题 。 

一 个 完善 的 数字 签名 应 该 解决 好 下 面 的 三 个 问题 。 

。 当 事 双 方 因 签名 真 伪 发 生 争议 时 ,应 该 能 够 在 第 三 方 或 一 个 仲裁 机 构 前 通过 验证 

签名 来 确认 其 真 伪 。 

。 发 送 方 事后 不 能 否认 自己 对 报 文 签名 。 

。 接收 者 能 够 验证 签名 ,其 他 任何 人 不 能 伪造 签名 ,也 不 能 对 接收 或 发 送 的 信息 进 

行 算 改 、 伪 造 。 

满足 上 述 三 个 条 件 的 数字 签名 技术 ,就 可 以 解决 对 网 络 上 传输 的 报 文 进行 身份 验证 
的 问题 了 。 数 字 签 名 的 实现 采用 了 密码 技术 ,通常 采用 公 钥 加 密 算法 实现 数字 签名 ,特别 
是 采用 RSA 算法 。 下 面 ,简单 介绍 一 下 数字 签名 的 实现 思想 。 数 字 签 名 示意 图 如 图 7-6 
所 示 。 

报 文 进行 网 络 传输 时 ,发送 者 使 用 自己 的 私有 密 钥 对 报 文 信息 进行 加 密 就 形成 了 签 
名 。 将 加 密 的 报 文 发 送 给 接收 者 。 接 收 者 在 接收 到 加 密 的 报 文 后 ,采用 已 知 发 送 者 的 公 
钥 对 报 文 进行 解密 运算 ,就 可 以 核实 签名 。 

上 述 过 程 实现 了 对 报 文 信息 的 数字 签名 ,但 报 文 并 没有 进行 加 密 , 如 果 其 他 人 截获 了 
报 文 并 知道 了 发 送 者 的 身份 ,就 可 以 通过 查阅 文档 得 到 发 送 者 的 公 钥 ,从 而 获取 报 文 的 
内 容 。 

为 了 达到 加 密 的 目的 ,可 以 采用 下 面 的 模型 : 在 将 已 签名 的 报 文 发 送出 去 之 前 , 先 用 
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7-6 数字 签名 示意 图 


接收 方 的 公 钥 对 报 文 进行 加 密 ;接收 方 在 接收 到 报 文 后 先 用 私 钥 对 报 文 进行 解密 ,然后 再 
用 发 送 方 的 公 钥 验证 发 送 方 的 签名 。 这 样 ,就 可 以 达到 加 密 和 签名 的 双重 效果 。 


7.3.2 报 文 鉴别 和 MD5 算法 


在 计算 机 网 络 安全 领域 中 ,防止 信息 被 窃听 采取 的 措施 是 对 发 送 的 信息 进行 加 密 ,而 
防止 信息 被 纂 改 和 伪造 需要 使 用 报 文 鉴别 技术 。 鉴 别 是 验证 通信 对 象 是 原 定 的 发 送 者 而 
不 是 冒名 顶替 的 一 种 技术 。 报 文 鉴别 保证 通信 的 接收 方 能 够 鉴别 验证 所 收 到 的 报 文 的 
真 伪 。 

报 文 的 安全 性 可 以 通过 报 文 加 密 来 实现 。 在 特定 的 网 络 应 用 中 ,许多 报 文 并 不 需要 
加 密 , 但 是 要 求 发 送 的 报 文 是 完整 的 ,没有 被 算 改 和 非 伪 造 的 。 例 如 ,在 网 络 上 发 布 一 个 
公告 ,就 不 需要 加 密 , 而 只 要 保证 其 是 完整 的 ,没有 被 算 改 。 对 于 不 需要 保密 的 报 文 进行 
加 密 和 解密 ,将 会 浪费 计算 机 的 系统 资源 并 增加 运算 时 间 。 因 此 ,可 使 用 相对 简单 的 报 文 
鉴别 算法 来 达到 目的 。 

目前 ,大 多 使 用 报 文摘 要 (Message Digest,MD) 算 法 来 进行 报 文 鉴别 ,其 主要 原理 如 
图 7-7 所 示 。 


1 
1 
H(m)tm 


报 文 m MD 算法 加 密 


产生 报 文摘 要 ”加 密 报 文摘 要 


7-7” 报 文摘 要 原理 示意 图 


报 文摘 要 原理 示意 图 说 明 如 下 : 
。 发 送 方 将 待 发 送 的 可 变 长 报 文 m 经 过 MD 算法 运算 得 出 固定 长 度 的 报 文摘 要 


ee 
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五 (xz) 。 

。 使 用 密 钥 K 对 态 (m) 生 成 报 文摘 要 密 文 及 ( 瑟 (z)) 附 加 在 报 文 关 之 后 一 起 
发 送 。 

。 在 接收 方 收 到 报 文 m 和 报 文摘 要 密 文 E(H(m)) 之 后 ,将 报 文摘 要 密 文 Ei (H(m)) 
解密 还 原 成 HGm)。 


同时 接收 方 将 收 到 的 报 文 m 经 过 MD 算法 运算 得 出 的 报 文摘 要 与 肪 (m) 比较 是 
否 相同 , 若 不 相同 则 可 断定 收 到 的 报 文 不 是 发 送 方 产生 的 。 

报 文摘 要 的 优点 是 : 对 短 的 固定 长 度 的 报 文摘 要 态 (m) 进 行 加 密 比 对 整个 报 文 m 进 
行 加 密 的 计算 效率 要 高 得 多 。 

要 实现 报 文 m 和 加 密 的 报 文摘 要 Ei(H(Gm)) 在 一 起 是 不 可 自 改 和 伪造 的 ,是 可 鉴别 
和 不 可 抵赖 的 。MD 算法 必须 满足 两 个 条 件 。 

(1) 对 于 给 定 的 一 个 报 文摘 要 值 x, 若 想 找到 一 个 报 文 y, 使 得 昌 (y) 二 xz 在 计算 上 不 
可 行 , 或 者 想 从 算法 上 得 到 结果 ,其 时 间 代 价 之 高 是 无 法 承受 的 ; 

(2) 两 个 不 同 报 文 产生 同样 的 报 文摘 要 在 计算 上 是 不 可 行 的 。 

这 两 个 条 件 表明 : (m,H(m)) 是 发 送 方 产生 的 报 文 和 报 文摘 要 ,攻击 者 不 可 能 仿造 
另 一 个 报 文 m', 使 得 有 (mm) 二 昌 (m), 从 而 达到 报 文 鉴别 的 目的 。 同 时 发 送 方 可 以 对 
五 (m) 进 行 数字 签名 ,使 报 文成 为 不 可 抵赖 的 。 

报 文摘 要 一 般 采 用 散 列 函数 (Hash Function) 实 现 , 目 前 用 得 最 为 广泛 的 是 MD5 报 
文摘 要 算法 。 

MD5 属于 一 种 被 称 之 为 “ 报 文摘 要 算法 ”的 喻 希 函数 , MD5 系统 的 定义 是 算法 以 一 
个 任意 长 的 信息 作为 输入 ,产生 一 个 128 位 的 “指纹 ”或 “摘要 信息 ”。MD5 系统 主要 用 在 
数字 签名 和 报 文 鉴别 中 。 

MD5 算法 是 对 需要 进行 摘要 处 理 的 报 文 信息 块 按 512 位 并 行 处 理 的 。 首 先 将 需要 
进行 摘要 处 理 的 报 文 信息 块 进行 填充 ,使 信息 报 文 的 长 度 等 于 512 的 倍数 。 填 充 的 方法 
是 首先 在 需要 进行 摘要 处 理 的 报 文 信息 块 后 填充 64 位 的 信息 长 度 ,其 首位 为 1, 其 他 位 全 
为 0; 然 后 对 信息 报 文 依次 处 理 , 每 次 处 理 512 位 ,每 次 进行 4 轮 16 步 总 共 64 步 的 信息 变 
换 处 理 , 每 次 输出 结果 为 128 位 ,然后 把 前 一 次 的 输出 作为 下 一 次 信息 变换 的 输入 初始 值 
(第 一 次 初始 值 算法 已 经 固定 ) ,这 样 最 后 输出 一 个 128 位 的 哈 希 摘要 结果 。 目 前 MD5 被 
认为 是 最 安全 的 报 文摘 要 算法 之 一 ,已 经 在 很 多 应 用 中 被 当成 标准 使 用 。 

MD5 提供 了 一 种 单 向 的 喻 希 函 数 , 是 一 种 校 验 和 报 文 鉴别 工具 。MD5 将 一 个 任意 
长 的 字符 串 作为 输入 ,产生 一 个 128 位 的 报 文摘 要 . 附 在 信息 报 文 后 面 ,以 确保 鉴别 报 文 
以 防 自 改 。MD5 认为 对 两 个 不 同 报 文 产生 同样 的 报 文摘 要 在 计算 上 是 不 可 行 的 ,并 且 一 
个 已 给 定 的 报 文摘 要 对 另 一 个 报 文 产生 同样 的 报 文摘 要 也 是 不 可 计算 的 。MD5 的 散 列 
结果 为 128 位 。 采 用 穷 举 法 攻击 每 秒 10 亿 条 明文 约 需要 计算 10 年 。 

MD5 算法 是 对 付 特洛伊 木马 程序 (有 关 特 洛 伊 木马 的 知识 将 在 后 面 的 相关 章节 中 详 
细 介 绍 ) 的 非常 有 效 的 工具 。 通 过 MD5 算法 计算 每 个 文件 的 数字 签名 可 检查 文件 是 否 
被 更 换 或 是 否 与 原来 的 一 致 。 


第 7 章 信息 安全 


7.4 信息 安全 技术 在 电子 商务 中 的 应 用 


网 络 在 人 们 日 常生 活 和 工作 中 的 应 用 越 来 越 广泛 ,作为 21 世纪 的 主要 经 济 形式 一 一 
电子 商务 ,将 给 全 世界 的 经 济 带 来 巨大 的 变革 。 电 子 商务 可 以 大 幅度 降低 交易 成 本 ,增加 
贸易 机 会 ,简化 贸易 流程 ,提高 贸易 效率 ,改善 物流 环节 ,推动 企业 和 国民 经 济 结构 的 改 
革 。 电 子 商务 是 一 个 机 遇 和 挑战 共存 的 新 领域 ,这 种 挑战 大 多 数 来 源 于 对 使 用 的 安全 技 
术 的 信赖 。 如 何 建立 一 个 安全 ,便捷 的 电子 商务 应 用 环境 ,对 信息 提供 足够 的 保护 ,是 商 
家 和 用 户 都 十 分 关注 的 话题 。 安 全 问题 已 成 为 电子 商务 的 核心 问题 。 要 加 强 电子 商务 的 
安全 ,需要 企业 本 身 采 取 更 为 严格 的 管理 措施 ,需要 国家 建立 健全 的 法 律 制度 ,更 需要 科 
学 的 、 先 进 的 安全 技术 。 


7.4.1 电子 商务 的 安全 概述 


当今 世界 上 最 著名 的 阿里 巴巴 网 站 是 全 球 最 大 的 网 上 贸易 市 场 和 商人 社区 ,为 来 自 
220 多 个 国家 和 地 区 的 760 多 万 企业 和 商人 提供 网 上 商务 服务 。 很 多 中 小 企业 通过 电子 
商务 获得 了 巨大 商机 ,但 也 有 些 企业 由 于 网 上 交易 陷入 欺诈 陷阱 。 所 以 要 充分 认识 到 电 
子 商务 为 企业 带 来 的 益处 ,但 同时 也 要 看 到 电子 商务 目前 发 展 的 不 完 

1. 电子 商务 的 基本 结构 和 流程 

目前 世界 上 通过 Internet 进行 电子 商务 的 个 人 和 企业 不 断 增加 ,但 如 果 把 信用 卡 的 
号 码 、 有 效 期 限 、 使 用 者 姓名 等 重要 信息 直接 通过 网 络 传送 ,每 个 人 都 会 有 所 担心 ,会 不 会 
泄露 我 的 信息 ,会 不 会 有 人 盗用 信用 卡 等 问题 。 因 此 必须 建立 一 个 安全 可 靠 地 进行 电子 
商务 数据 交换 的 系统 。 

电子 商务 的 服务 模式 主要 有 : 企业 内 部 之 间 企业 和 企业 之 间 ,企业 与 消费 者 之 间 
等 。 企 业 一 企业 和 企业 一 消费 者 的 电子 商务 交易 过 程 是 有 差异 的 ,和 传统 的 商务 活动 
不 同 的 是 ,在 电子 商务 的 流程 中 ,企业 、 消 费 者 \ 银 行 和 第 三 方 交 易 平台 、 认 证 体系 、 物 
流 配 送 体 系 等 积极 参与 交易 的 整个 过 程 。 虽然 电子 商务 的 发 展 是 不 可 阻挡 的 潮流 ,但 
是 目前 在 发 展 过 程 中 还 面临 一 些 基 本 问题 ,也 称 为 电子 商务 发 展 过 程 中 的 七 大 瓶颈 ， 
它们 分 别 是 认证 体系 、 安 全 保障 ,在 线 支付 安全 、 物 流 配送 体系 、 互 联网 络 的 带宽 、 法 律 
环境 以 及 协同 作业 平台 问题 。 企 业 在 实施 电子 商务 时 必须 正视 这 些 问 题 ,并 协同 寻求 
解决 之 道 。 

传统 企业 要 根据 电子 商务 的 发 展 趋势 确立 自己 的 Internet 发 展 策略 。 通 过 Internet 
建立 全 新 的 商业 模式 ,将 商业 行为 的 主导 权 从 卖方 转移 到 买方 .使 消费 者 拥有 更 全 面 的 信 
息 、 更 多 的 选择 和 更 强大 的 交易 工具 ,在 交易 中 逐步 占据 主动 地 位 。 电 子 商务 需要 全 新 的 
商业 理念 。 对 一 些 企业 来 说 ,电子 商务 的 应 用 ,简单 地 使 用 Web 是 不 够 的 ,必须 重新 考虑 
企业 的 电子 商务 应 用 环境 、 原 有 的 信息 管理 技术 和 业务 流程 。Internet 使 企业 能 以 从 前 
不 可 想象 的 方式 ,将 自身 运作 和 其 他 组 织 整合 在 一 起 。 

网 上 交易 流程 有 很 多 种 类 型 ,主要 分 为 网 络 商品 直销 和 网 络 商品 中 介 交 易 这 两 种 基 
本 的 流程 。 
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200 (1) 网 络 商品 直销 的 流程 
网 络 商品 直销 是 指 消 费 者 和 生产 者 或 者 需求 方 和 供应 方 直接 利用 网 络 形式 所 开展 的 
买卖 活动 。 这 种 在 网 上 的 买卖 交易 最 大 的 特点 是 供需 直接 见面 ,环节 少 , 速 度 快 ,费用 
低廉 。 


消费 者 在 Internet 上 查看 企业 和 商家 的 主页 (Home Page) 。 
消费 者 通过 购物 对 话 框 填 写 姓 名 .地 址 .商品 品种 规格、 数量、 价格 。 
消费 者 选择 支付 方式 ,如 信用 卡 、 借 记 卡 .电子 货币 .电子 支票 等 。 
企业 或 商家 的 客户 服务 器 接 到 订单 后 检查 支付 方 的 服务 器 ,确认 汇款 额 是 否 被 
认可 。 
企业 或 商家 的 客户 服务 器 确认 消费 者 付款 后 ,通知 销售 部 门 送 货 上 门 。 
消费 者 的 开户 银行 将 支付 款项 传递 到 信用 卡 公司 ,并 由 信用 卡 公司 负责 发 给 消费 
者 收费 单 。 

在 上 述 过 程 中 ,认证 中 心 (CA) 作 为 第 三 方 ,确认 网 上 经 商 者 的 真实 身份 ,保证 了 交易 
的 正常 进行 。 

网 络 商品 直销 的 诱 人 之 处 ,在 于 它 能 够 有 效 地 减少 交易 环节 ,大 幅度 地 降低 交易 成 
本 ,从 而 降低 消费 者 所 得 到 的 商品 的 最 终 价 格 。 消 费 者 只 需 输入 厂家 的 域名 ,访问 厂家 的 
主页 , 即 可 清楚 地 了 解 所 需 商 品 的 品种 .规格 、 价 格 等 情况 ,而 且 , 该 商品 厂家 主页 上 的 价 
格 最 接近 出 厂价 ,这样 就 有 可 能 达到 出 厂价 格 和 最 终 价格 的 统一 ,从 而 使 三 家 的 销售 利润 
大 幅度 提高 ,竞争 能 力 不 断 增强 。 

网 络 商品 直销 的 不 足 之 处 主要 表现 在 两 个 方面 。 第 一 ,购买 者 只 能 从 网 络 广告 上 判 
断 商品 的 型 号 .性 能 .样式 和 质量 ,对 实物 没有 直接 的 感知 ,在 很 多 情况 下 可 能 产生 错误 的 
判断 ; 某 些 厂商 也 可 能 利用 网 络 广告 对 自己 的 产品 进行 不 实 的 宣传 ,甚至 可 能 打出 虚假 广 
告 欺骗 顾客 。 第 二 ,购买 者 利用 信用 卡 进 行 网 络 交易 ,不 可 避免 地 要 将 自己 的 密码 输入 计 
算 机 ,由 于 新 技术 的 不 断 涌现 ,犯罪 分 子 可 能 利用 各 种 高 新 科技 的 作案 手段 窃取 密码 , 进 
而 盗窃 用 户 的 钱 款 , 这 种 情况 不 论 是 在 国外 还 是 在 国内 均 有 发 生 。 

(2) 网 络 商品 中 介 交 易 的 流程 

网 络 商品 中 介 交 易 是 通过 网 络 商品 交易 中 心 , 即 虚拟 网 络 市 场 进行 商品 交易 的 ,如 阿 
里 巴巴 ,或 购物 网 站 如 易趣 网 等 。 在 这 种 交易 过 程 中 ,网 络 商品 交易 中 心 以 Internet 网 络 
为 基础 ,利用 先进 的 通信 技术 和 计算 机 软件 技术 ,将 商品 供应 商 、 采 购 商 和 银行 紧密 地 联 
系 起 来 ,为 客户 提供 市 场 信息 .商品 交易 、 仓 储 配 送 、 货 款 结算 等 全 方位 的 服务 。 

买卖 双方 各 自 的 供需 信息 通过 网 络 告诉 网 络 商品 交易 中 心 , 网 络 商品 交易 中 心 通过 
信息 发 布 服务 向 交易 的 参与 者 提供 大 量 的 、 详 细 准 确 的 交易 数据 和 市 场 信 息 。 

买卖 双方 根据 网 络 商品 交易 中 心 提供 的 信息 ,选择 自己 的 贸易 伙伴 。 网 络 商品 交易 
中 心 从 中 撮合 ,促使 买卖 双方 签订 合同 。 

买方 在 网 络 商 品 交 易 中 心 指定 的 银行 办 理 转账 付款 手续 。 

网 络 商 品 交 易 中 心 在 各 地 的 配送 部 门将 卖方 货物 送 交 买方 。 

通过 网 络 商 品 中 介 进 行 交 易 具 有 许多 突出 的 优点 。 首 先 , 网 络 商 品 中 介 为 买卖 双方 
展现 了 一 个 巨大 的 世界 市 场 , 这 个 市 场 存储 了 全 世界 几 千 万 个 品种 的 商品 信息 资料 ,可 联 
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系 千 万 家 企业 和 商贸 单位 。 每 一 个 参加 者 都 能 够 充分 地 宣传 自己 的 产品 ,及 时 地 沟通 交 201 
易 信 息 ,最 大 限度 地 完成 产品 交易 。 各 种 网 络 商品 中 介 机 构 通过 网 络 彼此 连接 起 来 ,进而 

形成 全 球 性 的 大 市 场 ,目前 这 个 市 场 正 以 每 年 70% 的 速度 递增 。 其 次 ,网 络 商 品 交 易 中 

心 作为 中 介 方 可 以 监督 交易 合同 的 履行 情况 ,有 效 地 解决 在 交易 中 买卖 双方 产生 的 各 种 
纠纷 和 问题 。 最 后 ,在 交易 的 结算 方式 上 ,网络 商 品 交易 中 心 采用 统一 集中 的 结算 模式 ， 

对 结算 资金 实行 统一 管理 ,有 效 地 避免 了 多 形式 、 多 层次 的 资金 截留 .占用 和 挪用 ,提高 了 
资金 风险 防范 能 力 。 

网 络 商品 的 中 介 交 易 方 式 目前 存在 的 主要 问题 是 ,现在 使 用 的 合同 文本 还 是 以 买卖 
双方 签字 交换 的 方式 完成 ,如 何 过 渡 到 电子 文本 合同 ,并 在 法 律 上 得 以 认可 , 尚 需 解决 有 
关 技 术 和 法 律 问题 。 

2. 电子 商务 安全 因素 与 安全 技术 

(1) 电子 商务 的 安全 要 素 
有 效 性 : 电子 商务 以 电子 形式 取代 了 纸张 ,那么 如 何 保证 这 种 电子 形式 的 贸易 信 
息 的 有 效 性 则 是 开展 电子 商务 的 前 提 。 电 子 商务 作为 贸易 的 一 种 形式 ,其 信息 的 
有 效 性 将 直接 关系 到 个 人 、 企 业 或 国家 的 经 济 利益 和 声誉 。 因 此 ,要 对 网 络 故障 、 
操作 错误 .应 用 程序 错误 硬件 故 障 、 系 统 软件 错误 及 计算 机 病毒 所 产生 的 潜在 威 
胁 加 以 控制 和 预防 ,以 保证 贸易 数据 在 确定 的 时 刻 、 确 定 的 地 点 是 有 效 的 。 

机 密 性 : 电子 商务 作为 贸易 的 一 种 手段 ,其 信息 直接 代表 着 个 人 、 企 业 或 国家 的 
商业 机 密 。 传 统 的 纸 面 贸易 都 是 通过 邮寄 封装 的 信件 或 通过 可 靠 的 通信 渠道 发 
送 商业 报 文 来 达到 保守 机 密 的 目的 的 。 电 子 商 务 是 建立 在 一 个 较为 开放 的 网 络 
环境 上 的 (尤其 Internet 是 更 为 开放 的 网 络 ) ,维护 商业 机 密 是 电子 商务 全 面 推广 
应 用 的 重要 保障 。 因 此 ,要 预防 非法 的 信息 存 取 和 信息 在 传输 过 程 中 被 非法 
窃取 。 

完整 性 : 电子 商务 简化 了 贸易 过 程 ,减少 了 人 为 的 干预 ,同时 也 带 来 了 维护 贸易 
各 方 商业 信息 的 完整 、 统 一 的 问题 。 由 于 数据 输入 时 的 意外 差错 或 欺诈 行为 ,可 
能 导致 贸易 各 方 信息 的 差异 。 此 外 ,数据 传输 过 程 中 信息 的 丢失 、 重 复 或 传送 的 
次 序 差 异 也 会 导致 贸易 各 方 信息 的 不 同 。 贸 易 各 方 信息 的 完整 性 将 影响 到 贸易 
各 方 的 交易 和 经 营 策略 ,保持 贸易 各 方 信息 的 完整 性 是 电子 商务 应 用 的 基础 。 因 
此 ,要 预防 信息 的 随意 生成 .修改 和 删除 ,同时 要 防止 数据 传送 过 程 中 信息 的 丢失 
和 重复 并 保证 信息 传送 次 序 的 统一 。 

可 靠 性 /不 可 抵赖 性 /鉴别 : 电子 商务 可 能 直接 关系 到 贸易 双方 的 商业 交易 ,如何 
确定 要 进行 交易 的 贸易 方正 是 交易 所 期 望 的 贸易 方 ,这 一 问题 则 是 保证 电子 商务 
顺利 进行 的 关键 。 在 传统 的 纸 面 贸 易 中 ,贸易 双方 通过 在 交易 合同 、 契 约 或 贸易 
单据 等 书面 文件 上 手写 签名 或 加 盖 印 章 来 鉴别 贸易 伙伴 ,确定 合同 .契约 .单据 的 
可 靠 性 并 预防 抵赖 行为 的 发 生 , 这 也 就 是 人 们 常 说 的 白 纸 黑 字 。 在 无 纸 化 的 电子 
商务 方式 中 ,通过 手写 签名 和 加 盖 印 章 进行 贸易 方 的 鉴别 已 是 不 可 能 的 了 。 因 
此 ,要 在 交易 信息 的 传输 过 程 中 为 参与 交易 的 个 人 、 企 业 或 国家 提供 可 靠 的 标识 。 
。 即 需 性 是 防止 延迟 或 拒绝 服务 , 即 需 安全 威胁 的 目的 就 在 于 破坏 正常 的 计算 机 处 
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理 或 完全 拒绝 服务 。 在 电子 商务 中 ,延迟 一 个 消息 或 消除 它 会 带 来 灾难 性 的 后 
果 。 例 如 ,你 在 上 午 10 点 向 在 线 的 股票 交易 公司 发 一 个 电子 邮件 委托 购买 1000 
股 IBM 公司 的 股票 ,假如 这 个 邮件 被 延迟 了 ,股票 经 济 商 在 下 午 2 点 半 才 收 到 这 
封 邮件 ,这 时 股票 已 经 涨 了 15% ,这 个 消息 的 延迟 就 使 你 损失 了 交易 额 的 15%。 

。 身份 认证 : 指 交易 双方 可 以 相互 确认 彼此 的 真实 身份 ,确认 对 方 就 是 本 次 交易 中 
所 称 的 真正 交易 方 。 认 证 是 证 实 一 个 声称 的 身份 或 者 角色 ,如 用 户 、 机 器 、 节 点 等 
是 否 真实 的 过 程 。 这 一 过 程 是 授权 和 审计 所 必需 的 ,也 是 实现 授权 、 审 计 的 访问 
控制 过 程 运 行 的 前 提 , 是 计算 机 网 络 安 全 系统 不 可 缺少 的 组 成 部 分 。 

。 和 审查 能 力 : 根据 机 密 性 和 完整 性 的 要 求 ,应 对 数据 审查 的 结果 进行 记录 。 审 查 能 
力 是 对 每 个 经 授权 的 用 户 活 动 的 唯一 标识 和 监控 ,以 便 对 其 所 使 用 的 操作 内 容 进 
行 审 计 和 跟踪 ,防止 当 贸 易 一 方 发 现 交易 对 自己 不 利 时 和 否认 电子 商务 行为 。 

(2) 电子 商务 中 使 用 的 信息 安全 技术 

为 了 保证 电子 商务 交易 的 安全 ,在 电子 商务 中 使 用 了 各 种 信息 安全 技术 。 

。 加密 技术 。 加 密 技术 是 电子 商务 中 采用 的 主要 安全 措施 ,交易 双方 可 根据 需要 在 

信息 交换 阶段 对 传送 的 信息 加 密 。 

密 钥 管 理 技术 。 对 称 密 钥 管理 是 基于 共同 保守 密 钥 来 实现 的 ,采用 对 称 加 密 技术 

的 双方 必须 保证 采用 安全 可 靠 的 方式 来 保护 密 钥 ,同时 要 设 定 防 止 密 钥 泄露 和 更 

改 密 钥 的 程序 。 使 用 公开 密 钥 的 交易 双方 可 以 使 用 证 书 来 交换 公开 密 钥 。 数 字 

证 书 能 够 起 到 标识 交易 双方 的 作用 ,是 目前 电子 商务 中 使 用 较为 广泛 的 技术 

之 二 

数字 签名 。 数 字 签 名 是 公开 密 钥 加 密 技术 的 另 一 类 应 用 , 报 文 的 发 送 方 从 报 文摘 

要 中 生成 一 个 128 位 的 散 列 值 ,发 送 方 用 自己 的 私有 密 钥 对 这 个 散 列 值 进 行 加 密 

来 形成 发 送 方 的 数字 签名 ,通过 数字 签名 能 够 实现 对 原始 报 文 的 签名 和 不 可 抵 

赖 性 。 

防火 墙 技术 。 防 火 墙 主要 用 来 隔离 内 部 网 络 和 外 部 网 络 ,保护 内 部 网 络 不 受 外 部 

网 络 的 攻击 。 目 前 防火 墙 主要 有 包 过 滤 技 术 和 应 用 网 关 一 代理 服务 器 。 包 过 滤 

技术 是 指 在 网 络 层 中 按照 过 滤 规 则 对 数据 包 实施 有 选择 的 通过 。 应 用 网 关 一 代 

理 服务 器 可 针对 网 络 应 用 服务 协议 即 数据 过 滤 协 议 进行 存 取 控制 ,并 且 能 够 对 数 

据 进 行 分 析 并 形成 相关 的 报告 。 

CA 技术 。 认 证 机 构 体 系 CA 是 指 一 些 不 直接 从 电子 商务 贸易 中 获 利 的 受 法 律 保 

护 的 可 信任 的 权威 机 构 ,负责 发 放 和 管理 电子 证 书 , 使 网 上 通信 的 各 方 能 互相 确 

认 身 份 。 它 的 基本 功能 有 : 接收 注册 请 求 , 处 理 、 拒 绝 / 批 准 请 求 ,颁发 证 书 。 在 

实际 运用 中 ,CA 由 大 家 都 信任 的 机 构 担当 ,如 中 国 数字 认证 中 心 等 。 


7.4.2 电子 商务 中 使 用 的 安全 协议 


在 电子 商务 发 展 中 ,最 关键 的 问题 是 如 何在 开放 的 公开 网 络 上 保证 交易 的 安全 性 , 即 
如 何 构筑 一 个 安全 的 交易 模型 问题 。 一 个 安全 的 电子 交易 模型 应 该 包括 5 个 方面 的 内 
容 : 数据 保密 、 身 份 认证 ,数据 完整 性 、 防 抵赖 性 、 访 问 控制 。 目 前 ,有 两 种 安全 在 线 支付 
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协议 被 广泛 采用 . 即 SSL 协议 和 SET 协议 。 

1. SSL 协议 

安全 套 接 层 (Secure Socket Layer,SSL) 协 议 是 网 景 (Netscape) 公 司 提出 的 一 种 基于 
Web 应 用 的 网 络 安全 通信 协议 , 它 包 括 服务 器 认证 、 客 户 认证 、SSL 链 路 上 的 数据 完整 性 
和 SSL 链 路 上 的 数据 保密 性 ,主要 采用 公开 密 钥 体制 和 X. 509 数字 证 书 技术 来 提供 数据 
传输 的 安全 性 保证 。 对 于 电子 商务 应 用 来 说 ,SSL 协议 可 保证 信息 的 真实 性 、 完 整 性 和 
保密 性 。 但 由 于 SSL 不 对 应 用 层 的 消息 进行 数字 签名 ,因此 不 能 提供 交易 的 不 可 否认 
性 ,这 是 SSL 在 电子 商务 使 用 中 的 最 大 不 足 。 因 此 ,网 景 公司 在 从 Communicator 4. 04 
版 开始 的 所 有 浏览 器 中 引入 了 一 种 被 称 做 表单 签名 (Form Signing) 的 功能 ,在 电子 商务 
中 ,可 利用 这 一 功能 对 包含 购买 者 的 订购 信息 和 付款 指令 的 表单 进行 数字 签名 ,从 而 保证 
交易 信息 的 不 可 否认 性 。SSL 协议 的 整个 概念 可 以 总 结 为 : 一 个 保证 任何 安装 了 安全 套 
接 层 的 客户 机 和 服务 器 间 事 务 安全 的 协议 , 它 涉及 所 有 TCP/IP 应 用 程序 。 

(1) SSL 安全 协议 主要 提供 三 方面 的 服务 。 

。 对 用 户 和 服务 器 进行 认证 ,确保 数据 发 送 到 正确 的 客户 机 和 服务 器 ; 

。 加 密 数据 以 防止 数据 在 传输 过 程 中 被 窃取 ; 

。 维护 数据 的 完整 性 ,确保 数据 在 传输 过 程 中 不 被 改变 。 

(2) SSL 协议 的 工作 流程 。 

服务 器 认证 阶段 : 客户 端 ( 即 消 费 者 ) 向 服务 器 ( 即 商 家 ) 发 送 一 个 开始 信息 Hello 
以 便 开 始 一 个 新 的 会 话 连接 。 加 服务 器 根据 客户 端的 信息 确定 是 否 需 要 生成 新 的 主 密 
钥 , 如 需要 则 服务 器 在 响应 客户 端 发 送 的 Hello 信息 时 将 包含 生成 主 密 钥 所 需 的 信息 。 
加 客户 端 根据 收 到 的 服务 器 响应 信息 ,产生 一 个 主 密 钥 ,并 用 服务 器 的 公开 密 钥 加 密 后 传 
给 服务 器 。@ 田 服务 器 恢复 该 主 密 钥 ,并 返回 给 客户 一 个 用 主 密 钥 认证 的 信息 ,以 此 让 客户 
认证 服务 器 。 

客户 认证 阶段 : 在 此 之 前 ,服务 器 已 经 通过 了 客户 认证 ,这 一 阶段 主要 完成 对 客户 的 
认证 。 经 认证 的 服务 器 发 送 一 个 提问 给 客户 ,客户 则 返回 (数字 ) 签 名 后 的 提问 及 其 公开 
密 钥 ,从 而 向 服务 器 提供 认证 。 

从 SSL 协议 所 提供 的 服务 及 其 工作 流程 可 以 看 出 ,SSL 协议 运行 的 基础 是 商家 对 消 
费 者 信息 保密 的 承诺 ,这 有 利于 商家 而 不 利于 消费 者 。 在 电子 商务 初级 阶段 ,能 运作 电子 
商务 的 企业 大 多 是 信誉 较 高 的 大 公司 ,因此 这 个 问题 还 没有 充分 暴露 出 来 。 但 随 着 电子 
商务 的 发 展 , 越 来 越 多 的 中 小 型 公司 也 参与 了 电子 商务 。 

在 电子 支付 过 程 中 ,中 小 型 公司 由 于 没有 强制 的 监督 机 制 , 没 有 资质 的 公司 利用 电子 
商务 在 网 上 进行 交易 ,这 种 只 有 商家 对 消费 者 的 认证 ,而 缺乏 消费 者 对 商家 认证 的 单一 认 
证 问题 就 越 来 越 突 出 。 虽 然 在 SSL3. 0 中 通过 数字 签名 和 数字 证 书 可 实现 浏览 器 和 Web 
服务 器 双方 的 身份 验证 ,但 是 SSL 协议 仍 存在 一 些 问题 .例如 ,只 能 提供 交易 中 客户 与 服 
务 器 间 的 双方 认证 ,在 涉及 多 方 的 电子 交易 中 ,SSL 协议 并 不 能 协调 各 方 间 的 安全 传输 
和 信任 关系 。 在 这 种 情况 下 ,VISA 和 MasterCard 两 大 信用 卡 公 组 织 制 定 了 SET 协议 ， 
为 网 上 信用 卡 支付 提供 了 全 球 性 的 标准 。 


203 


204 


计算 机 网 络 管理 与 安全 (第 2 版 ) 


2. SET 协议 

安全 电子 交易 (Secure Electonic Transcation ,SET) 协 议 由 美国 VISA 和 MasterCard 
两 大 信用 卡 组 织 联 合 国际 上 多 家 科技 机 构 , 共 同 制定 的 应 用 于 Internet 的 以 银行 卡 为 基 
础 进行 在 线 交 易 的 安全 标准 ,目的 是 保证 网 络 交易 的 安全 。SET 协议 主要 是 为 了 解决 信 
用 卡 在 电子 商务 交易 中 的 交易 协议 、 信 息 保密 、 资 料 完 整 以 及 身份 认证 等 问题 。 

SET 采用 公 钥 密码 体制 和 X. 509 数字 证 书 标准 ,主要 应 用 于 企业 一 消费 者 模式 中 ， 
保障 网 上 购物 信息 的 安全 性 。SET 协议 本 身 比 较 复杂 ,设计 比较 严格 ,安全 性 高 , 它 能 保 
证 信息 传输 的 机 密 性 、 真 实 性 、 完 整 性 和 不 可 否认 性 。SET 协议 是 公 钥 基础 设施 (PKI) 框 
架 下 的 一 个 典型 实现 ,同时 也 在 不 断 升 级 和 完善 ,如 SET2. 0 将 支持 借 记 卡 电子 交易 。 

SET 协议 的 工作 流程 如 下 : 

(1) 消费 者 利用 自己 的 PC 通过 Internet 选 定 所 要 购买 的 物品 ,并 在 计算 机 上 输入 订 
货 单 ,订货 单 上 需 包括 在 线 商 店 、 购 买 物 品名 称 及 数量 、 交 货 时 间 及 地 点 等 相关 信息 。 

(2) 通过 电子 商务 服务 器 与 相关 在 线 商店 联系 ,在 线 商店 做 出 应 答 ,告诉 消费 者 所 填 
订货 单 的 货物 单价 应 付款 数 、 交 货 方式 等 信息 是 否 准确 ,是 否 有 变化 。 

(3) 消费 者 选择 付款 方式 ,确认 订单 签发 付款 指令 ,此 时 SET 开始 介入 。 

(4) 在 SET 中 ,消费 者 必须 对 订单 和 付款 指令 进行 数字 签名 ,同时 利用 双重 签名 技 
术 保 证 商家 看 不 到 消费 者 的 账号 信息 。 

(5) 在 线 商店 接受 订单 后 ,向 消费 者 所 在 银行 请 求 支付 认可 。 信 息 通 过 支付 网 关 到 
收 单 银行 ,再 到 电子 货币 发 行 公司 确认 。 批 准 交易 后 ,返回 确认 信息 给 在 线 商 店 。 

(6) 在 线 商店 发 送 订 单 确认 信息 给 消费 者 。 客 户 端 软件 可 记录 交易 日 志 , 以 备 将 来 
查询 。 

(7) 在 线 商店 发 送 货 物 或 提供 服务 并 通知 收音 银行 将 钱 从 消费 者 的 账号 转移 到 商店 
账号 ,或 通知 发 卡 银行 请 求 支付 。 在 认证 操作 和 支付 操作 中 间 一 般 会 有 一 个 时 间 间 隔 , 例 
如 ,在 每 天 的 下 班 前 请 求 银行 结 一 天 的 账 。 

SET 从 第 (3) 步 开始 起 作用 ,一 直到 第 (6) 步 ,在 处 理 过程 中 通信 协议 、 请 求 信息 的 格 
式 ,数据 类 型 的 定义 等 SET 都 有 明确 的 规定 。 在 操作 的 每 一 步 ,消费 者 、 在 线 商 店 、 支 付 
网 关 都 通过 CA( 认 证 中 心 ) 来 验证 通信 主体 的 身份 ,以 确保 通信 的 对 方 不 是 冒名 顶替 的 ， 
所 以 ,也 可 以 简单 地 认为 SET 规格 充分 发 挥 了 认证 中 心 的 作用 ,以 维护 在 任何 开放 网 络 
上 的 电子 商务 参与 者 所 提供 信息 的 真实 性 和 保密 性 。 

由 于 SET 协议 提供 了 消费 者 .商家 和 银行 之 间 的 认证 ,确保 了 交易 数据 的 安全 性 、 完 
整 性 .可 靠 性 和 交易 的 不 可 和 否认 性 ,特别 是 保证 不 将 消费 者 银行 卡号 暴露 给 商家 ,因此 
SET 成 为 目前 公认 的 信用 卡 / 借 记 卡 网 上 交易 的 国际 安全 标准 。 

3. SET 与 SSL 协议 的 比较 

(1) 在 认证 要 求 方面 ,早期 的 SSL 并 没有 提供 商家 身份 认证 机 制 ,虽然 在 SSL3. 0 中 
可 以 通过 数字 签名 和 数字 证 书 实现 浏览 器 和 Web 服务 器 双方 的 身份 验证 ,但 仍 不 能 实现 
多 方 认证 ; 相 比 之 下 ,SET 的 安全 要 求 较 高 ,所 有 参与 SET 交易 的 成 员 ( 持 卡 人 、 商 家 ,发 
卡 行 \ 收 单行 和 支付 网 关 ) 都 必须 申请 数字 证 书 进行 身份 识别 。 

(2) 在 安全 性 方面 ,SET 协议 规范 了 整个 商务 活动 的 流程 ,从 持 卡 人 到 商家 ,到 支付 
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网 关 , 到 认证 中 心 以 及 信用 卡 结算 中 心 之 间 的 信息 流 走向 和 必须 采用 的 加 密 、 认 证 都 制定 
了 严密 的 标准 ,从 而 最 大 限度 地 保证 了 商务 性 、 服 务 性 协调 性 和 集成 性 。 而 SSL 只 对 持 
卡 人 与 商店 端的 信息 交换 进行 加 密 保护 ,可 以 看 作用 于 传输 的 那 部 分 的 技术 规范 。 从 电 
子 商务 特性 来 看 ,SSL 并 不 具备 商务 性 、 服 务 性 .协调 性 和 集成 性 。 因 此 SET 的 安全 性 比 
SSL 高 。 

(3) 在 网 络 层 协 议 位 置 方 面 ,SSL 是 基于 传输 层 的 通用 安全 协议 ,而 SET 位 于 应 用 
层 , 对 网 络 上 的 其 他 各 层 也 有 涉及 。 

(4) 在 应 用 领域 方面 ,SSL 主要 是 和 Web 应 用 一 起 工作 的 ,而 SET 是 为 信用 卡 交 易 
提供 安全 的 ,因此 如 果 电 子 商务 应 用 只 是 通过 Web 或 电子 邮件 , 则 可 以 不 要 SET。 但 如 
果 电 子 商务 应 用 是 一 个 涉及 多 方 交易 的 过 程 , 则 使 用 SET 更 安全 、 更 通用 些 。 

SSL 协议 实现 简单 ,独立 于 应 用 层 协议 ,大 部 分 内 置 于 浏览 器 和 Web 服务 器 中 ,在 电 
子 交易 中 应 用 便利 。 但 SSL 是 一 个 面向 连接 的 协议 ,只 能 提供 交易 中 客户 与 服务 器 间 的 
双方 认证 ,不 能 实现 多 方 的 电子 交易 。SET 在 保留 对 客户 信用 卡 认证 的 前 提 下 增加 了 对 
商家 身份 的 认证 ,安全 性 进一步 提高 。 由 于 两 协议 所 处 的 网 络 层次 不 同 ,为 电子 商务 提供 
的 服务 也 不 相同 ,因此 在 实践 中 应 根据 具体 情况 来 选择 独立 使 用 或 两 者 混合 使 用 。 


《人 本 章 小 结 


密码 技术 是 信息 安全 的 核心 技术 ,本 章 介绍 了 加 密 算法 、 密 钥 管 理 .数字 签名 及 报 文 
鉴别 等 常用 技术 。 通 过 密码 技术 加 强 网 络 中 传输 数据 的 安全 ,以 此 来 提高 网 络 安全 。 要 
求 掌握 加 密 算法 的 种 类 、 密 钥 分 配 与 管理 方法 及 数字 签名 的 实现 过 程 等 内 容 , 对 于 密码 技 
术 在 电子 商务 中 的 应 用 要 求 了 解 即 可 。 


4 尘 本 章 习 题 


1. 简 述 对 称 性 加 密 和 非 对 称 性 加 密 的 主要 特点 。 
2. 简 述 数字 签名 的 实现 思想 。 

3. 简 述 报 文摘 要 的 主要 原理 。 

4. 简 述 SET 与 SSL 协议 。 
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【本 章 重点 】 

熟悉 Windows 在 域 模式 下 加 强 系统 安全 性 的 主要 方法 。 掌 握 计算 机 病毒 的 工作 过 
程 及 常用 的 反 病 毒 技术 。 掌 握 防 火 墙 的 工作 原理 及 体系 结构 。 理 解 黑客 的 攻击 过 程 及 常 
用 的 攻击 方法 。 


加 强 计算 机 网 络 系统 的 安全 性 ,除了 第 4 章 介 绍 的 加 强 计算 机 网 络 中 传输 数据 的 安 
全 性 之 外 ,另外 的 办 法 就 是 加 强 计算 机 网 络 中 的 软件 和 硬件 的 安全 性 。 可 以 从 多 个 角度 
进行 ,如 从 网 络 体系 结构 的 角度 对 各 层 协 议 的 安全 性 进行 加 强 ; 也 可 以 从 系统 运行 软件 的 
角度 ,对 各 种 软件 的 安全 性 进行 加 强 ;还 可 以 针对 常见 的 破坏 活动 ,进行 安全 的 防范 等 。 
在 本 章 中 仅 介绍 一 些 常用 的 基本 技术 ,Windows 2003 操作 系统 提高 安全 性 的 主要 方法 、 
防火 墙 技术 、 防 计算 机 病毒 技术 及 黑客 的 进攻 。 


8.1 Windows 操作 系统 的 安全 性 


操作 系统 是 计算 机 网 络 系统 配置 最 重要 的 软件 ,在 整个 计算 机 系统 中 处 于 中 心地 位 。 
操作 系统 的 安全 与 否 , 是 整个 计算 机 网 络 系统 安全 性 的 决定 因素 之 一 。 下 面 就 介绍 
Windows 在 域 工作 模式 下 提高 自己 安全 性 的 主要 技术 。 


8.1.1 Kerberos 身份 认证 


当 网 络 用 户 对 计算 机 网 络 中 的 资源 进行 访问 时 ,系统 首先 进行 的 就 是 身份 认证 。 只 
有 被 认定 为 合法 的 用 户 才 有 可 能 进行 资源 的 访问 。Windows 2003 在 域 模式 下 采用 了 
Kerberos 身份 认证 ,保证 一 次 登录 便 可 进行 全 部 访问 。 下 面 进行 简单 的 介绍 。 

Kerberos 为 网 络 通信 提供 可 信和 的 面向 开放 系统 的 认证 服务 。 每 当 用 户 (client) 申 
请 得 到 某 服务 程序 (server) 的 服务 时 ,用 户 和 服务 程序 会 首先 向 Kerberos 要 求 认 证 对 
方 的 身份 ,认证 建立 在 用 户 和 服务 程序 对 Kerberos 的 信任 的 基础 上 。 在 申请 认证 时 ， 
client 和 server 都 可 看 成 Kerberos 认证 服务 的 用 户 , 认 证 双方 与 Kerberos 的 关系 如 
图 8-1 所 示 。 


第 8 章 系统 安全 


当 用 户 登 录 到 工作 站 时 ,Kerberos 对 用 户 进行 
初始 认证 ,通过 认证 的 用 户 可 以 在 整个 登录 时 间 内 
得 到 相应 的 服务 。Kerberos 既 不 依赖 用 户 登 录 的 终 2 Ne 
端 ,也 不 依赖 用 户 所 请 求 的 服务 的 安全 机 制 , 它 本 身 A Ng 
提供 了 认证 服务 器 来 完成 用 户 的 认证 工作 。 
下 面 介 绍 一 下 Kerberos 认证 的 过 程 。Kerberos 
的 一 些 常 用 术语 的 缩写 如 表 8-1 所 示 。 8-1 身份 验证 关系 图 
表 8-1 常用 术语 缩写 
缩 写 实际 意义 缩 写 实际 意义 
c 用 户 (client) Kx x 的 私有 密 钥 
s 服务 程序 (server) Kx,y x 和 y 的 会 话 密 钥 
addr 用 户 的 网 络 地 址 {abc} Kx 用 Kx 加密 abc 
Ticket 令 牌 ,用 于 声明 用 户 有 效 性 Tx,y x 请求 使 用 y 的 Ticket 
life Ticket 保持 有 效 的 时 间 Ax x 的 标识 符 (Authenticator) 
tgs, TGS 票证 服务 器 WS 工作 站 
AS 认证 服务 程序 


Kerberos 有 两 种 证 书 : Ticket 和 Authenticator。 这 两 种 证 书 均 使 用 密 钥 加 密 ,但 加 
密 的 密 钥 不 同 。Ticket 用 来 在 认证 服务 器 和 用 户 请 求 的 服务 之 间 传 递 用 户 的 身份 ,同时 
也 传递 附加 信息 来 保证 使 用 Ticket 的 用 户 必 须 是 Ticket 中 指定 的 用 户 。Ticket 的 组 成 
部 分 如 图 8-2 所 示 。 

Ticket 由 client 和 server 的 名 字 client 的 地 址 .时 间 戳 .生存 时 间 、 会 话 密 钥 5 部 分 
组 成 。Ticket 一 旦 生成 。 在 life 指定 的 时 间 内 就 可 以 被 client 多 次 使 用 来 申请 同一 个 
server 的 服务 。 

Authenticator 则 提供 信息 与 Ticket 中 的 信息 进行 比较 ,保证 发 出 Ticket 的 用 户 就 
是 Ticket 中 指定 的 用 户 。Authenticator 的 组 成 部 分 如 图 8-3 所 示 。 


Te, s={s,c,addr,timestamp,life,Ks,c}Ks; Ac={c,addr,timestamp} Ks,c; 


图 8-2 Ticket 的 组 成 部 分 图 8-3 Authenticator 的 组 成 部 分 


Authenticator 由 client 的 名 字 、 地 址 ,记录 当前 时 间 的 时 间 戳 三 部 分 组 成 。 
Authenticator 只 能 在 一 次 服务 请 求 中 使 用 ,每 当 client 向 server 申请 服务 时 ,必须 重新 
生成 Authenticator. 

用 户 c 请求 服务 s 的 整个 Kerberos 认证 协议 如 图 8-4 所 示 。 

(1) 用 户 c 得 到 初始 化 令 牌 Tc,TGS。 

登录 时 用 户 被 要 求 输入 用 户 名 ,输入 后 系统 会 向 认证 服务 器 (Authentication Server) 
发 送 一 条 包含 用 户 和 TGS(Ticket Granting Server) 服务 两 者 名 字 的 请 求 。 认 证 服务 器 
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208 ”检查 用 户 是 否 有 效 ,如 果 有 效 , 则 随机 产生 一 个 用 户 用 来 和 TGS 通信 的 会 话 密 钥 Kc， 
TGS, 然 后 创建 一 个 令 牌 Tc,TGS, 令 牌 中 包含 用 户 名 、TGS 服务 名 、 用 户 地 址 、 当 前 时 
间 、 有 效 时 间 、 还 有 刚才 创建 的 会 话 密 钥 , 然 后 将 令 牌 用 KTGS 加 密 。 认 证 服务 器 向 用 户 
发 送 加 密 过 的 令 牌 {Tc,TGS}KTGS 和 会 话 密 钥 Kc,TGS, 发 送 的 消息 用 只 有 用 户 和 认 
证 服务 器 知道 的 Kc 来 加 密 , Kec 的 值 基于 用 户 的 密码 ,用 户 与 AS 之 间 的 数据 交换 ,如 
图 8-5 所 示 。 


as ) Cros ) Cin ) cTGS CA > 
(aia) (Ce Ce {Ke,TGS, {Te,TGS}KTGS} Ke CA > 


8-4 ”Kerberos 认证 协议 图 图 8-5 用 户 与 AS 之 间 的 数据 交换 


用 户 工 作 站 收 到 认证 服务 器 回应 后 ,就 会 要 求 用 户 输 入 密码 ,将 密码 转化 为 DES 密 
钥 Kc, 然 后 将 认证 服务 器 发 回 的 信息 解 开 , 将 令 牌 和 会 话 密 钥 保 存 用 于 以 后 的 通信 ,为 了 
安全 ,用 户 密码 和 密 钥 Kc 则 被 删 掉 。 

当 用 户 的 登录 时 间 超 过 了 令 牌 的 有 效 时 间 时 ,用 户 的 请 求 就 会 失败 ,这 时 系统 会 要 求 
用 户 使 用 kinit 程序 重新 申请 令 牌 Tc,TGS。 用 户 运行 klist 命令 可 以 查看 自己 所 拥有 的 
令 牌 的 当前 状态 . 

(2) 用 户 c 从 TGS 得 到 所 请 求 服务 s 的 令 牌 Tc,s。 

一 个 令 牌 只 能 申请 一 个 特定 的 服务 ,所 以 用 户 必须 为 每 一 个 服务 s 申请 新 的 令 牌 ,用 
户 可 以 从 TGS 处 得 到 令 牌 Tc,s。 

用 户 程 序 首先 向 TGS 发 出 申请 令 牌 的 请 求 ,请求 信 息 中 包含 s 的 名 字 、 得 到 的 请 求 
TGS 服务 的 加 密令 牌 {Tc, TGS)KTGS, 还 有 加 密 过 的 Authenticator 信息 {Ac) Kc， 
TGS, Ke,TGS 就 是 第 (1) 步 得 到 的 会 话 密 钥 。 

TGS 得 到 请 求 后 ,用 密 钥 和 会 话 密 钥 解 开 请 求 得 到 的 Tc,TGS 和 Ac, 根 据 两 者 的 信 
息 鉴定 用 户 身 份 是 否 有 效 。 如 果 有 效 ,TGS 就 生成 用 于 c 和 s 之 间 通 信和 的 会 话 密 钥 Kc， 
s, 并 生成 用 于 c 申请 得 到 s 服务 的 令 牌 Tc,s, 其 中 包含 c 和 s 的 名 字 、c 的 网 络 地 址 、 当 前 
时 间 ` 有效 时 间 和 刚才 产生 的 会 话 密 钥 。 令 牌 Tc,s 的 有 效 时间 是 初始 令 牌 Tc,TGS 剩 
余 的 有 效 时 间 和 所 申请 的 服务 默认 有 效 时间 中 最 短 的 时 间 ,用 户 与 TGS 之 间 的 数据 交换 


如 图 8-6 所 示 。 
{s,{Tc,TGS}KTGS, {Ac}Kc,TGS} 
{{Te,s}Ks,Ke,s}Kc,TGS tos ) 


图 8-6 用户 与 TGS 之 间 的 数据 交换 
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TGS 最 后 将 加 密 后 的 令 牌 {Tc,s}Ks 和 会 话 密 钥 Kc,s 用 用 户 和 TGS 之 间 的 会 话 密 
钥 加 密 后 发 送 给 用 户 。 用 户 c 得 到 回答 后 ,用 Kc,TGS 解密 ,得 到 所 请 求 的 令 牌 和 会 话 
密 钥 。 

(3) 用 户 c 利用 得 到 的 令 牌 Ke,s 申请 服务 s。 用 户 申请 服务 s 的 工作 与 第 (2) 步 相 
似 , 只 不 过 申请 的 服务 由 TGS 变 为 了 s。 

用 户 首先 向 s 发 送 包 含 加 密令 牌 {Tc,s) Ks 和 {Ac) Kc,s 的 请 求 ,s 收 到 请 求 后 将 其 
分 别 解密 ,比较 得 到 的 用 户 名 、 网 络 地 址 、 时 间 等 信息 ,判断 请 求 是 否 有 效 。 用 户 和 服务 程 
序 之 间 的 时 钟 必 须 同步 在 几 分 钟 的 时 间 段 内 , 当 请 求 的 时 间 与 系统 当前 时 间 相 差 太 远 时 ， 
认为 该 请 求 是 无 效 的 ,用 来 防止 重 放 攻击 。 为 了 防止 重 放 攻击 ,s 通常 保存 一 份 最 近 收 到 
的 有 效 请 求 的 列表 , 当 收 到 的 请 求 与 已 经 收 到 的 某 份 请 求 的 令 牌 和 时 间 完 全 相同 时 ,就 认 
为 此 请 求 无 效 。 

当 c 也 想 验 证 s 的 身份 时 ,s 将 收 到 的 时 间 截 加 1, 并 用 会 话 密 钥 加 密 后 发 送 给 用 户 ， 
用 户 收 到 回答 后 ,用 会 话 密 钥 解 密 来 确定 s 的 身份 ,服务 器 和 用 户 之 间 的 数据 交换 如 


图 8-7 所 示 。 
{Ac}kKc,s, {Tc,s}Ks 
{timestamp+1}Ke,s Sener ) 


图 8-7 服务 器 和 用 户 之 间 的 数据 交换 


通过 上 面 三 步 之 后 ,用 户 c 和 服务 s 互相 验证 了 彼此 的 身份 ,并 且 拥 有 只 有 c 和 s 两 
者 知道 的 会 话 密 钥 Kc,s, 以 后 的 通信 都 可 以 通过 会 话 密 钥 得 到 保护 。 


8.1.2 访问 控制 


当 用 户 成 功 登 录 系统 后 ,用户 就 领 到 了 一 张 身份 证 件 ,而 各 种 资源 都 包含 控制 用 户 访 
间 的 控制 信息 , 当 用 户 试图 访问 资源 时 ,系统 将 对 比 资源 的 访问 控制 信息 和 用 户 的 身份 证 
件 , 以 确定 用 户 是 否 有 权 访 问 资源 ,以 及 访问 权限 是 什么 。 

1. 安全 标识 符 

SID(Security Identifiers) 是 标识 用 户 、 组 和 计算 机 账户 的 唯一 号 码 。 在 第 一 次 创建 
该 账户 时 ,将 给 网 络 上 的 每 一 个 账户 发 布 一 个 唯一 的 SID。Windows 2003 中 的 内 部 进程 
将 引用 账户 的 SID 而 不 是 账户 的 用 户 名 或 组 名 。 如 果 创 建 账户 ,再 删除 账户 ,然后 使 用 
相同 的 用 户 名 创建 男 一 个 账户 , 则 新 账户 将 不 具有 授权 给 前 一 个 账户 的 权力 或 权限 ,原因 
是 该 账户 具有 不 同 的 SID 号 。 安 全 标识 符 也 被 称 为 安全 ID 或 SID。 

用 户 通过 验证 后 ,登录 进程 会 给 用 户 一 个 访问 令 牌 ,该 令 牌 相当 于 用 户 访问 系统 资源 
的 票证 , 当 用 户 访 问 系 统 资源 时 ,将 访问 令 牌 提供 给 Windows, 然 后 Windows 检查 用 户 
访问 对 象 上 的 访问 控制 列表 。 如 果 用 户 被 允许 访问 该 对 象 , Windows 将 会 分 配给 用 户 适 
当 的 访问 权限 。 
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访问 令 牌 是 用 户 在 通过 验证 的 时 候 由 登录 进程 提供 的 ,所 以 改变 用 户 的 权限 需要 注 
销 后 重新 登录 ,重新 获取 访问 令 牌 。 

如 果 存 在 两 个 同样 SID 的 用 户 , 这 两 个 账户 将 被 鉴别 为 同一 个 账户 ,原理 上 如 果 账 
户 无 限 增加 ,将 会 产生 同样 的 SID, 在 通常 情况 下 SID 是 唯一 的 , 它 由 计算 机 名 、 当 前 时 
间 、 当 前 用 户 态 线程 的 CPU 耗费 时 间 的 总 和 三 个 参数 决定 ,以 此 保证 它 的 唯一 性 。 

一 个 完整 的 SID 包括 用 户 和 组 的 安全 描述 、48 位 的 ID 标识 .修订 版 本 、 可 变 的 验证 
值 ,如 s-1-5-21-76985614-1876338704-322544478-1001。 

2. 访问 控制 

既然 用 户 被 鉴定 到 服务 器 上 ,就 可 以 对 照 基 于 NTFS 的 任意 访问 控制 列表 (DACL) 
查找 用 户 的 权限 。 当 一 个 用 户 试图 访问 一 个 文件 或 者 文件 夹 的 时 候 ,NTFS 文件 系统 会 
检查 用 户 使 用 的 账户 或 者 账户 所 属 的 组 是 否 在 此 文件 或 者 文件 夹 的 访问 控制 列表 
(CACL) 中 ,如 果 存 在 则 进一步 检查 访问 控制 项 (ACE) ,然后 根据 控制 项 中 的 权限 来 判断 
用 户 最 终 的 权限 。 如 果 访 问 控制 列表 中 不 存在 用 户 使 用 的 账户 或 者 账户 所 属 的 组 ,就 拒 
绝 用 户 访问 。 

(1) NTFS 权限 及 对 应 的 操作 

NTFS 权限 及 对 应 的 操作 如 表 8-2 所 示 。 


表 8-2 NTFS 权限 及 对 应 操作 


权 限 对 应 的 操作 
完全 控制 对 文件 或 者 文件 夹 可 执行 所 有 操作 
修改 可 以 修改 、 删 除 文件 或 者 文件 夹 
读 取 和 运行 可 以 读 取 内 容 , 并 且 可 以 执行 应 用 程序 
列 出 文件 夹 目 录 可 以 列 出 文件 夹 的 内 容 ,此 权限 只 针对 文件 夹 存 在 
读 取 可 以 读 取 文件 或 者 文件 夹 的 内 容 
写 人 可 以 创建 文件 或 者 文件 夹 
特别 的 权限 其 他 不 常用 的 权限 ,如 删除 权限 的 权限 


所 有 权限 都 有 “允许 ”和 “拒绝 ”两 种 选择 ,如 图 8-8 所 示 。 

关于 权限 的 进一步 说 明 如 下 。 

@ 新 建 的 文件 或 者 文件 夹 都 有 默认 的 NTFS 权限 ,如 果 没 有 特别 需要 ,一 般 不 用 改 。 
文件 或 者 文件 夹 的 默认 权限 是 继承 上 一 级 文件 夹 的 权限 ,如 果 是 根 目 录 ( 如 C:N\) 下 的 文 
件 夹 , 则 权限 是 继承 磁盘 分 区 的 权限 。 权 限 的 设置 在 如 图 8-9 所 示 的 对 话 框 中 进行 。 

设置 各 个 账户 以 及 组 对 当前 文件 或 者 文件 夹 的 权限 的 方法 很 简单 ,在 该 对 话 框 的 “名 
称 ” 文 本 框 中 ,选择 要 修改 的 账户 或 者 组 ,在 “权限 ”列表 框 中 选择 合适 的 权限 就 行 了 。 还 
可 以 在 该 对 话 框 中 设置 一 些 特殊 权限 以 及 取得 文件 或 文件 夹 的 所 有 权 的 方法 。 

@ NTFS 权限 的 应 用 规则 : 如 果 一 个 用 户 同时 在 两 个 组 或 者 多 个 组 内 ,而 各 个 组 对 
同一 个 文件 有 不 同 的 权限 ,那么 这 个 用 户 对 这 个 文件 有 什么 权限 呢 ? 
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企业 版 的 权限 项 目 
| 常规 | 共享 | 安全 | 自 定义 Er 
村 【32 该 权限 是 从 父 对 象 继承 来 的 。 


JSID\Administrator) 
retors (SJSIDWdninistrators) 名 称 加 :Naninistrator GJSIDWaninistr] | 更 中 亿 ) 
应 用 到 @) : | 深 文 件 买 ， 子 文件 末 及 文件 
权限 中 ) 允许 

充 全 控制 

追 历 文件 夹 /运行 文件 

列 出 文件 夹 / 读 取 数 据 

读 职 司 性 

读 取 扩展 属性 

创建 文 件 / 写 入 数据 

创建 文件 夹 /附加 数据 

写 入 属性 

写 入 扩展 属性 

删除 子 文件 夹 及 文件 

再 


次 
3 


图 | 


门 “ 图 
用 到 过 个 容器 中 的 对 象 “| 全 部 清除 地 ) 


口 口 口 口 口 口 口 口 口 口 


再 于] [取消 [mam | WA] 


图 8-8 NTFS 权限 及 对 应 的 操作 图 8-9 权限 的 设置 


简单 地 说 , 当 一 个 用 户 属 于 多 个 组 的 时 候 ,这 个 用 户 会 得 到 各 个 组 的 累加 权限 ,但 是 
一 旦 有 一 个 组 的 相应 权限 被 拒绝 ,此 用 户 的 此 权限 就 会 被 拒绝 。 

举例 来 说 ,假设 有 一 个 用 户 WZ, 如 果 WZ 属于 A 和 B 两 个 组 ,A 组 对 某 文件 有 读 取 
权限 ,B 组 对 此 文件 有 写 入 权限 , WZ 自己 对 此 文件 有 修改 权限 ,那么 WZ 对 此 文件 的 最 
终 权限 为 读 取 十 写 入 十 修改 权限 。 

假设 WZ 对 文件 有 写 人 权限 ,A 组 对 此 文件 有 读 取 权 限 , 但 是 B 组 对 此 文件 为 拒绝 
读 取 权限 ,那么 WZ 对 此 文件 只 有 写 入 权限 。 这 里 还 有 一 个 小 问题 ,WZ 对 此 文件 只 有 写 
和 人 权限 ,没有 读 取 权 限 ,那么 , 写 人 权限 有 效 么 ? 答案 很 明显 , WZ 对 此 文件 的 写 入 权限 无 
效 , 因 为 不 能 读 取 怎么 写 人 ? 连 门 都 进 不 去 ,怎么 把 家 具 搬 进去 ? 

@ 权限 的 继承 : 新 建 的 文件 或 者 文件 夹 会 自动 继承 上 一 级 目录 或 者 驱动 器 的 NTFS 
权限 ,但 是 从 上 一 级 继承 下 来 的 权限 是 不 能 直接 修改 的 ,只 能 在 此 基础 上 添加 其 他 权限 。 
也 就 是 不 能 把 权限 上 的 钩 去 掉 ( 因 为 你 去 不 掉 ), 只 能 添加 新 的 钩 。 在 “属性 ?对 话 框 中 灰 
色 的 框 为 继承 的 权限 ,是 不 能 直接 修改 的 ,白色 的 框 是 可 以 添加 的 权限 。 

当然 这 并 不 是 绝对 的 ,只 要 权限 够 ,如 管理 员 ,也 可 以 把 这 个 继承 下 来 的 权限 修改 了 ， 
或 者 让 文件 不 再 继承 上 一 级 目录 或 者 驱动 器 的 NTFS 权限 。 

@ 权限 的 拒绝 : 这 个 很 简单 ,只 要 记 住 ,拒绝 的 权限 是 最 大 的 就 行 了 。 无 论 给 账户 
或 者 组 设置 了 什么 权限 ,只 要 “拒绝 ” 复 选 框 被 选中 ,被 拒绝 的 权限 就 绝对 有 效 。 

回 移动 和 复制 操作 对 权限 的 影响 : 这 里 一 共有 4 种 情况 ,移动 和 复制 文件 ( 夹 ) 到 同 
一 个 或 者 不 同 的 分 区 内 。 只 需要 记 住 , 只 有 移动 到 同一 分 区 内 才能 保留 原来 设置 的 权限 ， 
否则 为 继承 目的 地 文件 夹 或 者 驱动 器 的 NTFS 权限 。 

(2) 共享 权限 

共享 权限 只 有 三 种 : 读 取 、 更 改 和 完全 控制 。Windows Server 2008 对 用 户 Everyone 
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示 。 共 享 文件 夹 的 管理 者 可 以 对 共享 用 户 进行 


权限 指派 ,同时 Windows Server 2008 在 共享 权 。 |， 超 用 PS 称 外 
限 的 管理 上 提供 了 基于 访问 权限 的 枚 举 功能 。 人 
下 面 解释 一 下 三 种 权限 : 


读 取 权限 是 指派 给 Everyone 组 的 默认 
权限 。 除 此 之 外 还 能 进行 以 下 操作 : 查 
看 文件 名 和 子 文件 夹 名 、 查 看 文件 中 的 
数据 、 运 行程 序 文件 。 

更 改 权 限 不 是 任何 组 的 默认 权限 。 更 改 
权限 除 允 许 所 有 的 读 取 权限 外 ,还 增加 
了 以 下 操作 : 添加 文件 和 子 文件 夹 、 更 改 
文件 中 的 数据 、 删 除 子 文件 夹 和 文件 。 
完全 控制 权限 是 指派 给 本 机 上 的 图 8-10 共享 权限 
Administrators 组 的 默认 权限 ,包括 读 

取 及 更 改 权限 。 和 NTFS 权限 一 样 , 如 果 赋 予 某 用 户 或 者 用 户 组 拒绝 的 权限 , 则 
该 用 户 或 者 该 用 户 组 的 成 员 将 不 能 执行 被 拒绝 的 操作 。 


对 于 共享 文件 夹 应 注意 以 下 三 点 : 


8. 


共享 权限 只 对 通过 网 络 访问 的 用 户 有 效 , 所 以 有 时 需要 和 NTFS 权限 配合 (如 果 
分 区 是 FAT/FAT32 文件 系统 , 则 不 需要 考虑 ) ,才能 严格 地 控制 用 户 的 访问 。 当 
一 个 共享 文件 夹 设置 了 共享 权限 和 NTFS 权限 后 ,就 要 受到 两 种 权限 的 控制 。 

如 果 和 希望 用 户 能 够 完全 控制 共享 文件 夹 ,首先 要 在 共享 权限 中 添加 此 用 户 ( 组 )， 
并 设置 完全 控制 的 权限 。 然 后 在 NTFS 权限 设置 中 添加 此 用 户 ( 组 ), 也 设置 完全 
控制 权限 。 只 有 两 个 地 方 都 设置 了 完全 控制 权限 ,用 户 ( 组 ) 才 最 终 拥有 完全 控制 
权限 。 

当 用 户 从 网 络 访问 一 个 存储 在 NTFS 上 的 共享 文件 夹 时 会 受到 两 种 权限 的 约束 ， 
而 有 效 权 限 是 最 严格 的 权限 (也 就 是 两 种 权限 的 交集 )。 而 当 用 户 从 本 地 计算 机 
直接 访问 文件 夹 时 ,不 受 共享 权限 的 约束 ,只 受 NTFS 权限 的 约束 。 同 时 还 要 考 
处 两 个 权限 的 冲突 问题 ,例如 ,共享 权限 为 只 读 ,NTFS 权限 是 写 入 ,那么 最 终 权 
限 是 完全 拒绝 ,因为 这 两 个 权限 的 组 合 权 限 是 两 个 权限 的 交集 。 


2 防火 墙 技术 


8.2.1 什么 是 防火 墙 


防火 墙 就 像 中 世纪 的 城堡 防卫 系统 , 那 时 人 们 为 了 保护 城堡 的 安全 ,在 城堡 的 周围 挖 
了 一 条 护城河 ,每 一 个 进入 城堡 的 人 都 要 经 过 吊桥 ,并 且 还 要 接受 城 门 守卫 的 检查 。 人 们 
借鉴 了 这 种 防护 思想 ,设计 了 一 种 网 络 安全 防护 系统 ,这 种 系统 就 被 称 为 防火 墙 , 如 
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图 8-11 所 示 。 


防火 墙 


8-11 防火 墙 


计算 机 网 络 中 的 防火 墙 技术 是 建立 在 现代 通信 技术 和 信息 安全 技术 基础 上 的 应 用 性 
安全 技术 ,应 用 于 内 部 网 络 与 外 部 网 络 之 间 ,保障 内 部 网 络 的 安全 。 防 火 墙 可 以 在 用 户 的 
计算 机 和 Internet 之 间 建 立 一 道 屏障 ,把 用 户 和 外 部 网 络 隔绝 ;用 户 可 以 通过 设 定 规则 来 
决定 哪些 情况 下 防火 墙 应 该 隔绝 计算 机 与 Internet 之 间 的 数据 传输 ,哪些 情况 下 允许 两 
者 之 间 的 数据 传输 。 通 过 防火 墙 挡住 外 部 网 络 对 内 部 网 络 的 攻击 和 入 侵 ,从 而 保障 用 户 
的 网 络 安全 。 

从 逻辑 上 讲 , 防 火 墙 是 分 离 器 、 限 制 器 和 分 析 器 ,有 效 地 控制 了 内 部 网 络 和 Internet 
之 间 的 任何 活动 ,保证 了 内 部 网 络 的 安全 。 在 计算 机 网 络 中 ,一 个 网 络 防火 墙 是 防备 潜在 
的 恶意 活动 的 屏障 ,并 可 通过 一 个 * 门 ”来 允许 用 户 在 安全 网 络 和 开放 的 不 安全 的 网 络 之 
间 通 信 。 早 期 的 防火 墙 是 由 一 个 单独 的 机 器 组 成 的 ,放置 在 私有 网 络 和 公 网 之 间 。 

近年 来 ,防火 墙 涉及 整个 从 内 部 网 络 到 外 部 网 络 的 区 域 ,由 一 系列 复杂 的 机 器 和 程序 
组 成 。 简 单 地 说 ,今天 的 防火 墙 是 多 个 组 件 的 应 用 。 从 实现 形式 上 讲 , 防火 墙 可 以 分 为 
硬件 防火 墙 和 软件 防火 墙 , 硬 件 防火 墙 是 通过 硬件 和 软件 结合 来 达到 隔离 内 部 、 外 部 网 络 
的 目的 的 ;软件 防火 墙 是 通过 纯 软件 的 方式 来 实现 的 。 

防火 墙 在 实施 安全 的 过 程 中 是 至 关 重 要 的 。 一 个 防火 墙 策略 要 符合 4 个 目标 ,而 每 
个 目标 通常 都 不 是 通过 一 个 单独 的 设备 或 软件 来 实现 的 。 大 多 数 情况 下 防火 墙 的 组 件 放 
在 一 起 使 用 以 满足 公司 安全 目的 的 需求 。 

(1) 实现 一 个 公司 的 安全 策略 。 

防火 墙 的 主要 意图 是 强制 执行 用 户 的 安全 策略 。 在 前 面 的 课程 提 到 过 在 适当 的 网 络 
安全 中 安全 策略 的 重要 性 。 举 个 例子 ,也 许 用 户 的 安全 策略 只 需 对 Mail 服务 器 的 SMTP 
流量 做 些 限制 ,那么 就 要 直接 在 防火 墙 强制 这 些 策略 。 

(2) 创建 一 个 阻塞 点 。 

防火 墙 在 一 个 公司 私有 网 络 和 公 网 间 建 立 一 个 检查 点 ,要 求 所 有 的 流量 都 要 通过 这 个 
检查 点 。 一 旦 这 些 检查 点 建立 ,防火 墙 设备 就 可 以 监视 过滤 和 检查 所 有 进来 和 出 去 的 流 
量 。 网 络 安全 产业 称 这 些 检查 点 为 阻塞 点 。 通 过 强制 所 有 进出 流量 都 通过 这 些 检查 点 ,网 
络 管理 员 可 以 集中 在 较 少 的 地 方 进行 监测 。 如 果 没 有 这 样 一 个 供 监视 和 控制 信息 的 点 , 系 
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统 或 安全 管理 员 就 要 在 大 量 的 地 方 进行 监测 。 检 查 点 的 另 一 个 名 字 叫 做 网 络 边界 。 

(3) 记录 Internet 活动 。 

防火 墙 还 能 够 强制 日 志 记 录 ,并且 提供 警报 功能 。 通 过 在 防火 墙 上 实现 日 志 服 务 , 安 
全 管理 员 可 以 监视 所 有 从 外 部 网 或 互联 网 的 访问 。 好 的 日 志 策略 是 实现 适当 网 络 安全 的 
有 效 工 具 之 一 。 防 火 墙 为 管理 员 进 行 日 志 存 档 提 供 了 更 多 的 信息 。 

(4) 限制 网 络 暴露 。 

防火 墙 在 内 部 网 络 周 围 创建 了 一 个 保护 的 边界 ,并 且 对 于 公 网 隐藏 了 内 部 系统 的 一 
些 信息 以 增加 保密 性 。 当 远程 节点 侦 测 内 部 网 络 时 ,它们 仅仅 能 看 到 防火 墙 。 远 程 设 备 
不 会 知道 内 部 网 络 的 布局 。 防 火 墙 可 以 通过 提高 认证 功能 和 对 网 络 加 密 来 限制 网 络 信息 
的 暴露 。 通 过 对 所 有 进来 的 流量 进行 源 检查 ,以 限制 从 外 部 发 动 的 攻击 。 

防火 墙 的 缺点 主要 集中 在 以 下 4 点 。 

(1) 不 能 防范 恶意 的 知情 者 。 

如 果 入 侵 者 在 防火 墙 内 部 ,他 不 通过 防火 墙 就 可 以 删改 文件 ,盗窃 数据 ,破坏 软件 和 
硬件 。 在 这 种 情况 下 防火 墙 是 无 能 为 力 的 ,只 能 加 强 内 部 管理 来 防范 。 

(2) 不 能 防范 不 通过 它 的 连接 。 

如 果 内 部 网 被 允许 不 通过 防火 墙 ,而 通过 其 他 途径 进行 访问 ,那么 不 通过 防火 墙 的 非 
法 访问 就 不 能 被 防范 。 

(3) 不 能 防备 全 部 的 威胁 。 

防火 墙 可 以 用 来 防范 已 知 的 威胁 ,但 不 能 防范 未 知 的 新 威胁 。 

(4) 不 能 防 病毒 。 

虽然 防火 墙 扫 描 所 有 通过 的 信息 ,但 是 不 能 扫描 数据 的 确切 内 容 , 即 使 是 先进 的 数据 
包 过 滤 也 不 能 防范 数据 中 隐藏 的 病毒 。 


8.2.2 防火 墙 的 基本 技术 

1. 分 组 过 滤 技 术 

分 组 过 滤 技 术 是 防火 墙 应 用 最 基本 的 技术 ,可 以 用 来 实现 多 种 网 络 安全 策略 。 网 络 
安全 策略 必须 明确 描述 被 保护 的 资源 .服务 的 类 型 .重要 程度 以 及 防范 对 象 。 

首先 在 分 组 过 滤 装 置 的 端口 设置 分 组 过 滤 准则 (分 组 过 滤 规 则 ) ,分 组 过 滤 的 规则 按 
一 定 的 顺序 存储 。 当 一 个 分 组 到 达 端 口 时 ,对 分 组 的 头 部 进行 分 析 , 大 多 数 分 组 过 滤 装 置 
只 检查 IP, 传 输 控制 协议 (TCP)、 用 户 数 据 报 文 协议 (UDP) 头 部 内 的 字段 ,然后 根据 分 组 
过 滤 的 规则 来 决定 是 阻塞 该 分 组 还 是 继续 发 送 , 如 果 存 在 某 条 规则 阻塞 一 个 分 组 传递 或 
接收 , 则 不 允许 该 分 组 通过 。 如 果 存 在 某 条 规则 允许 或 接收 一 个 分 组 , 则 允许 该 分 组 通 
过 。 如 果 一 个 分 组 不 满足 任何 规则 , 则 该 分 组 被 阻塞 。 分 组 过 滤 原 理 如 图 8-12 所 示 。 

下 面 根据 一 个 简单 的 例子 来 说 明 分 组 过 滤 的 工作 原理 。 

有 一 个 内 部 网 A, 它 的 卫 地 址 为 132. 36. X. X ,其 中 某 部 门 的 下 地址 为 132. 36.9. X 。 
另 一 个 内 部 网 B 的 IP 地 址 为 112. 44. X. X ,其 中 某 部 门 的 了 P 地 址 为 112. 44. 9. X ,该 部 
门 不 能 连接 到 A 的 内 部 网 ,允许 B 中 其 他 部 门 的 所 有 子 网 与 A 内 部 网 132. 36. 9. X 连 
接 , 但 不 能 与 A 其 他 部 门 连接 。 过 滤 规 则 表 如 表 8-3 所 示 。 
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包 过 滤 路 由 器 


包 过 滤 
规则 


网 络 层 
数据 链 路 层 数据 链 路 层 
物理 层 


[一 人 


防火 墙 外 部 网 络 


8-12 分 组 过 滤 原 理 示 意图 


表 8-3 过滤 规则 表 
规则 源 地 址 目的 地 址 动作 
1 112. 44. X. X 131. 36. 9. xX 允许 
E 112. 44. 9. xX 131. 36. X. X 拒绝 
3 0.0.0.0 0.0.0.0 拒绝 


当 一 个 分 组 到 达 过 滤 端 口 时 ,分 别 用 过 滤 规 则 表 中 的 每 条 规则 对 分 组 进行 检查 ,符合 
规则 1 的 允许 通过 ,符合 规则 2 的 将 被 拒绝 ,不 允许 通过 。 表 中 的 规则 3 为 默认 值 ,也 就 
是 不 符合 规则 1 和 规则 2 的 其 他 分 组 将 被 拒绝 ,不 允 通 过 。 

根据 规则 表 可 以 得 到 以 下 结论 : 

对 于 分 组 1, 源 地 址 为 112. 44. 9. 1, 目 的 地 址 为 131. 36. 1. 1, 则 拒绝 该 分 组 通过 。 

对 于 分 组 2, 源 地 址 为 112. 44. 1. 1 ,目的 地 址 为 131. 36. 9. 1 , 则 允许 该 分 组 通过 。 

对 于 分 组 3, 源 地 址 为 112. 24. 1. 1 ,目的 地 址 为 131. 36. 1. 1 , 则 拒绝 该 分 组 通过 。 

一 个 分 组 过 滤 装 置 常 被 放置 于 一 个 或 几 个 网 段 与 其 他 网 段 之 间 。 网 段 通常 被 分 为 内 
部 网 段 和 外 部 网 段 ,外 部 网 段 用 来 连接 外 部 网 络 ,例如 ,Internet; 内 部 网 段 用 来 连接 一 个 
单位 或 组 织 内 部 的 主机 和 其 他 网 络 资源 。 

2. 应 用 程序 代理 技术 

应 用 程序 代理 技术 建立 在 应 用 层 的 基础 上 ,利用 应 用 程序 来 过 滤 Telnet、FTP 等 服 
务 连接 ,这 样 的 应 用 软件 称 为 代理 服务 。 运 行 代理 服务 的 主机 称 为 应 用 网 关 , 代 理 服务 仅 
允许 在 应 用 网 关 有 代理 的 服务 通过 防火 墙 , 而 其 他 没有 代理 的 服务 将 被 阻塞 。 代 理 服 务 
具有 认证 和 很 强 的 日 志 功 能 。 

应 用 程序 代理 防火 墙 实际 上 并 不 允许 在 它 连 接 的 网 络 之 间 直 接 通信 。 代 理 服务 器 接 
受 来 自 内 部 网 络 特定 用 户 应 用 程序 的 通信 ,然后 与 公共 网 络 服务 器 建立 单独 的 连接 。 网 
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络 内 部 的 用 户 不 直接 与 外 部 的 服务 器 通信 ,所 以 服务 器 不 能 直接 访问 内 部 网 的 任何 一 部 
分 。 另 外 ,如 果 不 为 特定 的 应 用 程序 安装 代理 程序 代码 ,这 种 服务 是 不 会 被 支持 的 ,不 能 
建立 任何 连接 。 这 种 建立 方式 拒绝 任何 没有 明确 配置 的 连接 ,从 而 提供 了 额外 的 安全 性 
和 控制 性 。 应 用 代理 示意 图 如 图 8-13 所 示 。 


防火 墙 


国 外 部 网 络 

客户 
fw 二 -局 
的 一 名 


= 
代理 服务 器 实际 的 连接 t 
J 


8-13 ”应 用 代理 示意 图 


例如 ,一 个 用 户 的 Web 浏览 器 可 能 在 80 端口 ,但 也 可 能 在 1080 端口 ,连接 到 了 内 部 
网 络 的 HTTP 代理 防火 墙 。 防 火 墙 接受 这 个 连接 请 求 , 并 把 它 转 到 所 请 求 的 Web 服务 
器 。 这 种 连接 和 转移 对 该 用 户 来 说 是 透明 的 ,因为 它 完全 是 由 代理 防火 墙 自动 处 理 的 。 

代理 防火 墙 通常 支持 一 些 常见 的 应 用 服务 ,如 HTTP、HTTPS/SSL、SMTP/POP3、 
IMAP、NNTP Telent\FTP IRC 。 

应 用 程序 代理 防火 墙 可 以 配置 成 允许 来 自 内 部 网 络 的 任何 连接 ,也 可 以 配置 成 要 求 
用 户 认证 后 才 建立 连接 。 要 求 认 证 的 方式 有 只 为 已 知 的 用 户 建立 连接 这 种 限制 ,为 安全 
性 提供 了 额外 的 保证 。 如 果 网 络 受到 危害 ,这 个 功能 就 会 使 得 从 内 部 发 动 攻击 的 可 能 性 
大 大 减少 。 

3. 监测 模型 技术 

监测 模型 技术 根据 Internet 和 内 部 网 络 关联 的 需求 ,建立 其 控制 管理 的 模型 ,完成 信 
息 传 输 的 控制 与 管理 。 从 原理 上 讲 监测 模型 技术 对 所 有 的 协议 都 有 效 ,能 处 理 从 IP 层 到 
应 用 层 所 有 的 分 组 过 滤 数据 ,也 就 是 将 所 有 层 的 信息 综合 到 一 个 监测 点 上 进行 过 滤 。 一 
般 是 加 载 一 个 检测 模块 ,在 不 影响 网 络 正常 工作 的 前 提 下 ,检测 模块 在 网 络 层 截取 数据 
包 , 然 后 在 所 有 的 通信 层 上 抽取 有 关 的 状态 信息 , 据 此 判断 该 通信 是 否 符合 安全 策略 。 由 
于 监测 模型 技术 是 在 网 络 层 截获 数据 包 的 .因此 可 以 支持 多 种 协议 和 应 用 程序 ,并 可 以 很 
容易 地 实现 应 用 的 扩充 。 


8.2.3 ”防火墙 的 体系 结构 


最 简单 的 防火 墙 配置 ,就 是 直接 在 内 部 网 和 外 部 网 之 间 加 装 一 个 包 过 滤 路 由 器 或 者 
应 用 网 关 。 为 更 好 地 实现 网 络 安全 ,有 时 还 要 将 几 种 防火 墙 组 合 起 来 构建 防火 墙 系统 。 
目前 比较 流行 的 有 以 下 三 种 防火 墙 配置 方案 。 
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1. 双 宿 主机 网 关 

双 宿 主机 网 关 是 用 一 台 装 有 两 个 网 络 适配器 的 双 宿 主机 做 防火 墙 的 。 双 宿主 机 用 两 
个 网 络 适配器 分 别 连接 两 个 网 络 , 又 称 为 堡垒 主机 。 堡 驹 主机 上 运行 着 防火 墙 软件 (通常 
是 代理 服务 器 ) ,可 以 转发 应 用 程序 ,提供 服务 等 。 双 宿主 机 网 关 有 一 个 致命 的 弱点 ,一旦 
入 侵 者 侵入 堡垒 主机 并 使 该 主机 只 具有 路 由 器 功能 , 则 任何 网 上 用 户 均 可 以 随便 访问 有 
保护 的 内 部 网 络 , 如 图 8-14 所 示 。 


集线器 


工作 站 工作 站 工作 站 


图 8-14 双 宿 主机 网 关 

2. 屏蔽 主机 网 关 

屏蔽 主机 网 关 易 于 实现 ,安全 性 好 ,应 用 广泛 。 屏 蔽 主机 又 分 为 单 宿 堡 又 主机 和 双 宿 
堡垒 主机 两 种 类 型 。 在 单 宿 堡垒 主机 类 型 中 ,一 个 包 过 滤 路 由 器 连接 外 部 网 络 ,一 个 堡垒 
主机 安装 在 内 部 网 络 上 。 堡 又 主机 只 有 一 个 网 卡 , 与 内 部 网 络 连接 。 通 常 在 路 由 器 上 设 
置 过 滤 规 则 ,并 使 这 个 单 宿 堡垒 主机 成 为 从 Internet 上 唯一 可 以 访问 的 主机 ,确保 内 部 网 
络 不 受 未 被 授权 的 外 部 用 户 的 攻击 。 而 Intranet 内 部 的 客户 机 ,可 以 受 限制 地 通过 屏蔽 
主机 和 路 由 器 访问 Internet。 单 宿 堡 垒 主机 如 图 8-15 所 示 。 


集线器 


工作 站 工作 站 工作 站 
图 8-15 单 宿 堡垒 主机 


双 宿 堡垒 主机 型 与 单 宿 堡垒 主机 型 的 区 别 是 ,堡垒 主机 有 两 块 网 卡 .一块 连 接 内 部 网 
络 , 一 块 连接 包 过 滤 路 由 器 。 双 宿 堡 又 主机 在 应 用 层 提 供 代理 服务 ,与 单 宿 型 相 比 更 加 安 
全 。 双 宿 堡 又 主机 如 图 8-16 所 示 。 

3. 屏蔽 子 网 

屏蔽 子 网 是 在 Intranet 和 Internet 之 间 建 立 一 个 被 隔离 的 子 网 .用 两 个 包 过 滤 路 由 
器 将 这 一 子 网 分 别 与 Intranet 和 Internet 分 开 。 两 个 包 过 滤 路 由 器 放 在 子 网 的 两 端 ,在 
子 网 内 构成 一 个 “缓冲 地 带 ”, 两 个 路 由 器 一 个 控制 Intranet 数据 流 , 另 一 个 控制 Internet 
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集线器 


8-16 双 宿 堡 从 主机 


数据 流 ,Intranet 和 Internet 均 可 访问 屏 项 子 网 ,但 禁止 它们 穿 过 屏蔽 子 网 通信 。 可 根据 
需要 在 屏蔽 子 网 中 安装 保 人 又 主机 ,为 内 部 网 络 和 外 部 网 络 的 互相 访问 提供 代理 服务 ,但 是 
来 自 两 网 络 的 访问 都 必须 通过 两 个 包 过 滤 路 由 器 的 检查 。 

对 于 向 Internet 公开 的 服务 器 , 像 WWW、FTP、Mail 等 Internet 服务 器 也 可 安装 在 
屏蔽 子 网 内 ,这样 无 论 是 外 部 用 户 ,还 是 内 部 用 户 都 可 访问 。 屏 项 子 网 的 防火 墙 安全 性 能 
高 ,具有 很 强 的 抗 攻击 能 力 , 但 需要 的 设备 多 ,造价 高 。 屏 蔽 子 网 如 图 8-17 所 示 。 


堡垒 主机 ”应 用 服务 器 


图 8-17 屏蔽 子 网 


当然 ,防火墙 本 身 也 有 其 局 限 性 ,如 不 能 防范 绕 过 防火 墙 的 入 侵 ,一 般 的 防火 墙 不 能 
防止 受到 病毒 感染 的 软件 或 文件 的 传输 ,难以 避免 来 自 内 部 的 攻击 等 。 总 之 ,防火 墙 只 是 
一 种 整体 安全 防范 策略 的 一 部 分 , 仅 有 防火 墙 是 不 够 的 ,安全 策略 还 必须 包括 全 面 的 安全 
准则 , 即 网 络 访问 、 本 地 和 远程 用 户 认证 、 拨 入 拨 出 呼叫 磁盘 和 数据 加 密 以 及 病毒 防护 等 
有 关 的 安全 策略 。 


8.3 计算 机 病毒 


8.3.1 计算 机 病毒 的 特点 及 分 类 


计算 机 病毒 是 一 种 计算 机 程序 ,是 一 段 可 执行 的 指令 代码 。 就 像 生 物 病 毒 一 样 , 计 算 机 
病毒 有 独特 的 复制 能 力 ,可 以 很 快 地 草 延 ,又 非常 难 根除 。 计 算 机 病毒 不 是 来 源 于 突 发 或 偶 
然 的 原因 的 。 一 次 突 发 的 停电 和 偶然 的 错误 ,会 在 计算 机 的 磁盘 和 内 存 中 产生 一 些 乱 码 和 
随机 指令 ,但 这 些 代 码 是 无 序 和 混乱 的 。 计 算 机 病毒 则 是 一 种 比较 完美 的 精巧 严 说 的 代 
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码 , 按 照 严 格 的 秩序 组 织 起 来 ,并 与 所 在 的 系统 网 络 环境 配合 起 来 对 系统 进行 破坏 。 2 
多 数 病毒 可 以 找到 作者 信息 和 产地 信息 ,通过 大 量 的 资料 分 析 统计 来 看 ,编写 病毒 的 
目的 是 : 一 些 天 才 的 程序 员 为 了 表现 和 证 明 自 己 的 能 力 `. 出 于 对 上 司 的 不 满 , 为 了 好 奇 、 
为 了 祝贺 和 求爱 等 ,当然 也 有 因 政 治 、 军 事 、 宗 教 . 民 族 、 专 利 等 方面 的 需求 而 专门 编写 的 。 
计算 机 病毒 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 明确 定义 为 : 
“编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ,影响 计算 机 使 用 并 且 能 
够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。” 
1. 计算 机 病毒 的 特点 
具有 很 强 的 传染 性 一定 的 潜伏 性 、 特 定 的 触发 性 、 很 大 的 破坏 性 ,如 图 8-18 所 示 。 


计算 机 病毒 的 特性 
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8-18 计算 机 病毒 的 特点 


传染 性 是 病毒 的 基本 特征 。 在 生物 界 , 病 毒 通过 传染 从 一 个 生物 体 扩散 到 另 一 个 生 
物体 。 在 适当 的 条 件 下 ,病毒 可 得 到 大 量 繁殖 ,使 被 感染 的 生物 体 表现 出 病症 甚至 死亡 。 
同样 ,计算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ,在 某 
些 情况 下 造成 被 感染 的 计算 机 工作 失常 甚至 瘫痪 。 

与 生物 病毒 不 同 的 是 ,计算 机 病毒 是 一 段 人 为 编制 的 计算 机 程序 代码 ,这 段 程序 代码 
一 旦 进入 计算 机 并 得 以 执行 ,就 会 搜寻 其 他 符合 其 传染 条 件 的 程序 或 存储 介质 ,确定 目标 
后 再 将 自身 代码 插入 其 中 ,达到 自我 繁殖 的 目的 。 只 要 一 台 计算 机 染 毒 ,如 不 及 时 处 理 ， 
那么 病毒 就 会 在 这 台 机 子 上 迅速 扩散 ,其 中 的 大 量 文件 (一 般 是 可 执行 文件 ) 会 被 感染 。 
而 被 感染 的 文件 又 成 了 新 的 传染 源 ,在 与 其 他 机 器 进行 数据 交换 或 通过 网 络 接触 时 ,病毒 
会 继续 进行 传染 。 

正常 的 计算 机 程序 一 般 是 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 之 上 的 ,而 计算 机 
病毒 却 能 使 自身 的 代码 强行 传染 到 一 切 符合 其 传染 条 件 的 未 受到 传染 的 程序 之 上 。 计 算 
机 病毒 可 通过 各 种 可 能 的 渠道 ,如 软盘 .计算 机 网 络 去 传染 其 他 的 计算 机 。 如 果 在 一 台 
器 上 发 现 了 病毒 ,往往 曾 在 这 人 台 计 算 机 上 用 过 的 软盘 也 已 感染 上 了 病毒 ,而 与 这 台 机 器 相 
联 的 其 他 计算 机 可 能 也 被 该 病毒 传染 上 了 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 
机 病毒 最 重要 的 条 件 。 

潜伏 性 的 第 一 种 表现 是 指 病毒 程序 不 用 专用 检测 程序 是 检查 不 出 来 的 ,因此 病毒 可 
以 静 静 地 衙 在 磁盘 或 磁带 里 待 上 几 天 ,甚至 几 年 ,一 旦 时 机 成 熟 , 病 毒 得 到 运行 机 会 ,就 又 
四 处 繁殖 扩散, 继续 为 害 。 

潜伏 性 的 第 二 种 表现 是 指 计 算 机 病毒 的 内 部 往往 有 一 种 触发 机 制 , 不 满足 触发 条 件 
时 ,计算 机 病毒 除了 传染 外 不 做 什么 破坏 。 触 发 条 件 一 旦 得 到 满足 ,有 的 在 屏幕 上 显示 信 
息 、 图 形 或 特殊 标识 ,有 的 则 执行 破坏 系统 的 操作 ,如 格式 化 磁盘 、 删 除 磁盘 文件 .对 数据 
文件 进行 加 密 、 封 锁 键盘 以 及 使 系统 死机 等 。 

病毒 因 某 个 事件 或 数值 的 出 现 , 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触发 性 。 


@ .计算 机 网 络 管理 与 安全 (第 2 版 ) 


220 ”为 了 隐藏 自己 ,病毒 必须 潜伏 , 少 做 动作 。 病 毒 具有 预定 的 触发 条 件 ,这 些 条 件 可 能 是 时 间 、 
日 期 文件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ,和 触发 机 制 检查 预定 条 件 是 否 满足 ,如 果 满 
足 ,就 启动 感染 或 破坏 动作 ,使 病毒 进行 感染 或 攻击 ;如 果 不 满足 ,就 使 病毒 继续 潜伏 。 

计算 机 病毒 的 破坏 性 主要 取决 于 计算 机 病毒 设计 者 的 目的 ,如 果 病 毒 设计 者 的 目的 
在 于 彻底 破坏 系统 的 正常 运行 ,那么 这 种 病毒 对 于 计算 机 系统 进行 攻击 造成 的 后 果 将 是 
难以 设想 的 , 它 可 以 毁 掉 系 统 的 部 分 数据 ,也 可 以 破坏 全 部 数据 并 使 之 无 法 恢复 ,但 并 非 
所 有 的 病毒 都 对 系统 产生 极其 恶劣 的 破坏 作用 。 有 时 几 种 本 没有 多 大 破坏 作用 的 病毒 交 
又 感染 ,也 会 导致 系统 崩溃 等 重大 恶果 。 

2. 计算 机 病毒 的 分 类 

病毒 从 不 同 的 角度 有 不 同 的 分 类 。 按 危害 性 分 为 良性 病毒 和 恶性 病毒 ; 按 寄生 方式 
分 为 代替 式 病 毒 、 链 接 式 病毒 、 转 储 式 病毒 .填充 式 病毒 和 覆盖 式 病 毒 等 。 按 病毒 感染 的 
途径 ,病毒 分 为 4 类 。 

(1) 操作 系统 型 病毒 (Operating System Viruses) 。 这 类 病毒 程序 作为 操作 系统 的 一 
个 模块 在 系统 中 运行 ,一 旦 激发 , 它 就 工作 。 例 如 , 它 作为 操作 系统 的 引导 程序 时 ,计算 机 
一 旦 启动 就 首先 运行 病毒 程序 ,然后 才 启 动 操作 系统 程序 。 这 类 病毒 也 称 为 引导 型 病毒 ， 
如 小 球 病毒 .大麻 病毒 等 。 

(2) 文件 型 病毒 (File Viruses) 。 文 件 型 病毒 攻击 的 对 象 是 文件 ,并 寄生 在 文件 中 , 当 
文件 运行 时 ,首先 运行 病毒 程序 ,然后 才 运行 指定 的 文件 (这 类 文件 一 般 是 可 执行 文件 ) 。 
文件 型 病毒 又 称 为 外 壳 型 (Shell Viruses) 型 病毒 ,其 病毒 程序 包围 在 宿主 程序 的 外 围 , 对 
其 宿主 程序 不 修改 。 

感染 文件 的 病毒 有 Jerusalem、Yankee Doole、Liberty、1575、Traveller、4096 等 ,主要 
感染 . com 和 . exe 文件 。 这 类 病毒 增加 了 被 感染 的 文件 字 节 数 ,并 且 病 毒 代 码 主体 没有 
加 密 ,也 容易 被 查 出 和 解除 。 在 文件 型 病毒 中 , 略 有 对 抗 反 病 毒手 段 的 只 有 Yankee 
Doole 病毒 , 当 它 发 现 用 Debug 工具 跟踪 时 ,会 自动 从 文件 中 逃走 。 

(3) 复合 型 病毒 。 复 合 型 病毒 既 感染 文件 ,又 感染 引导 扇 区 ,常见 的 有 XqR (New 
century)、Invader( 侵 入 者 )、Plastique( 塑 料 炸弹 )、3584( 郑 州 狼 )、ALFA/3072-2、Ghost/ 
One Halff3544( 幽 灵 ) 等 。 如 果 只 清除 了 文件 或 硬盘 主 引导 扇 区 的 病毒 , 则 仍 会 感染 系 
统 。 解 决 的 方法 是 从 软盘 启动 系统 ,然后 调用 软盘 版 杀毒 软件 ,同时 杀 掉 硬盘 上 的 引导 扇 
区 病毒 和 文件 病毒 。 

(4) 宏 病 毒 。 宏 病毒 主要 是 利用 软件 本 身 所 提供 的 宏 能 力 来 设 病毒 的 ,所 以 凡是 具 
有 宏 能 力 的 软件 都 有 宏 病 毒 存 在 的 可 能 ,如 Word、Excel。Microsoft Word 中 把 宏 定义 为 
“能 组 织 到 一 起 作为 独立 的 命令 的 一 系列 Word 命令 , 它 能 使 日 常 工作 变 得 更 容易 。” 而 
Word 宏 病 毒 利用 Word 的 开放 性 , 即 Word 中 提供 的 WordBasic 编程 接口 ,并 能 通过 doc 
文档 及 doc 模板 进行 自我 复制 及 传播 。 

随 着 Office 新 版 本 的 推出 ,微软 不 断 加 强 宏 的 功能 , 宏 病 毒 的 危害 也 越 来 越 大 。 
Melissa 病毒 是 利用 宏 来 使 E-mail 管理 程序 Outlook 自动 根据 其 通讯 录 中 记录 的 前 50 个 地 
址 发 信 , 而 July Killer 宏 病 毒 的 破坏 方式 则 是 产生 一 个 只 有 一 条 指令 deltree/y C:\ 的 
Autoexec. bat 文件 来 替代 现 有 的 该 文件 ,当下 次 启动 计算 机 时 ,这 条 指令 就 会 删除 C 盘 中 的 
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所 有 文件 ,所 以 宏 病 毒 是 一 种 危害 极 大 的 病毒 。 2 


8.3.2 ”计算 机 病毒 的 工作 过 程 

1. 计算 机 病毒 程序 的 结构 

计算 机 病毒 包括 三 大 功能 块 . 即 引 导 模 块 、 传 播 模 块 和 破坏 /表现 模块 。 其 中 ,后 两 个 
模块 各 包含 一 段 触 发 条 件 检 查 代码 ,它们 分 别 检 查 是 否 满足 传染 触发 的 条 件 和 是 否 满足 
表现 触发 的 条 件 ,只 有 在 相应 的 条 件 满足 时 ,病毒 才 会 进行 传染 或 表现 /破坏 。 必 须 指出 ， 
不 是 任何 病毒 都 必须 包括 这 三 个 模块 的 ,有 些 病 毒 没有 引导 模块 ， 
有 些 病毒 没有 破坏 模块 。 

三 个 模块 各 自 的 作用 是 : 引导 模块 将 病毒 由 外 存 引 入 内 存 , 使 
后 两 个 模块 处 于 活动 状态 ;传播 模块 用 来 将 病毒 传染 到 其 他 对 象 上 
去 ;破坏 /表现 模块 实施 病毒 的 破坏 作用 ,如 删除 文件 格式 化 磁盘 


引 层 模块 


等 ,由 于 该 模块 中 有 些 病毒 并 没有 明显 的 恶意 破坏 作用 ,只 是 进行 “| “于 

一 些 视屏 或 发 声 方面 的 自我 表现 作用 , 故 该 模块 有 时 又 称 为 表现 模 

块 。 计 算 机 病毒 程序 结构 ,如 图 8-19 所 示 。 0 
2. 计算 机 病毒 的 引导 及 传染 
目前 的 计算 机 病毒 寄生 对 象 有 两 种 ,一 是 寄生 在 磁盘 的 引导 区 

上 ;二 是 寄生 在 可 执行 文件 上 。 i 
对 于 寄生 在 磁盘 引导 区 的 病毒 来 说 ,病毒 引导 程序 占用 了 原 引 。 。 吝 程 应 结构 


导 程 序 的 位 置 , 并 将 原 引 导 程 序 转移 到 一 个 特定 的 地 方 。 这 样 系统 
一 启动 ,病毒 就 被 引导 进 内 存 并 获得 执行 权 , 然 后 将 病毒 的 其 他 两 个 模块 装 入 内 存 , 采 取 
常 驻 内 存 技术 以 保证 这 两 个 模块 不 会 被 覆盖 ,并 设 定 激活 方式 ,使 之 能 在 适当 的 方式 下 被 
激活 。 然 后 病毒 引导 程序 将 系统 引导 模块 装 和 内存 ,使 系统 在 带 毒 状 态 下 工作 。 

对 于 寄生 在 可 执行 文件 中 的 病毒 来 说 ,病毒 程序 通过 修改 原 有 的 可 执行 文件 ,一 般 链 
接 在 可 执行 文件 的 首部 、 中 间 、 尾 部 等 ,将 病毒 引导 程序 引入 内 存 , 该 引导 程序 将 病毒 的 其 
他 两 个 模块 装 入 内 存 , 并 完成 驻 留 内 存 及 初始 化 工作 ,然后 将 执行 权 交 给 执行 文件 ,使 系 
统 在 带 病 的 状态 下 工作 。 

传染 是 指 计算 机 病毒 由 一 个 载体 传播 到 另 一 个 载体 或 者 由 一 个 系统 进入 另 一 个 系统 
的 过 程 。 用 户 在 复制 磁盘 或 文件 时 ,把 一 个 病毒 由 一 个 载体 复制 到 另 一 个 载体 上 。 或 者 
通过 网 络 上 的 信息 传递 ,把 一 个 病毒 程序 从 一 方 传递 到 男 一 方 , 这 种 传染 方式 叫做 计算 机 
病毒 的 被 动 传染 。 在 病毒 处 于 激活 的 状态 下 ,只 要 传染 条 件 满足 ,病毒 程序 就 能 主动 地 把 
病毒 自身 传染 给 另 一 个 载体 或 男 一 个 系统 ,这 种 传染 方式 叫做 计算 机 病毒 的 主动 传染 。 

对 于 病毒 的 被 动 传染 而 言 , 其 传染 过 程 是 随 着 复制 磁盘 或 文件 工作 的 进行 而 进行 的 。 
而 对 于 计算 机 病毒 的 主动 传染 而 言 , 其 传染 过 程 是 这 样 的 : 在 系统 运行 时 ,病毒 通过 病毒 载 
体 即 系统 的 外 存储 器 进入 系统 的 内 存储 器 , 常 驻 内 存 , 并 在 系统 内 存 中 监视 系统 的 运行 。 

在 病毒 引导 模块 将 病毒 传播 模块 驻 留 内 存 的 过 程 中 ,通常 还 要 修改 系统 中 断 向 量 入 
口 地 址 (例如 INT 13H 或 INT 21H), 使 该 中 断 向 量 指向 病毒 程序 传播 模块 。 这 样 一 旦 
系统 执行 磁盘 读 写 操作 或 系统 功能 调用 ,病毒 传播 模块 就 被 激活 ,传播 模块 在 判断 传染 条 
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件 满足 的 条 件 下 ,利用 系统 INT 13H 读 写 磁盘 中 断 把 病毒 自身 传播 给 被 读 写 的 磁盘 或 被 
加 载 的 程序 ,也 就 是 实施 病毒 的 传染 ,然后 再 转移 到 原 中 断 服务 程序 执行 原 有 的 操作 。 

3. 病毒 的 触发 

进入 内 存 处 于 运行 状态 的 病毒 ,并 不 是 马上 就 起 破坏 作用 的 ,还 要 等 待 一 定 的 触发 条 
件 。 在 触发 条 件 的 设置 上 要 兼顾 潜伏 性 与 杀伤 力 , 过 于 苛刻 和 宽泛 都 会 影响 计算 机 病毒 
的 破坏 性 。 计 算 机 病毒 采用 的 常见 的 触发 条 件 有 7 种: 

(1) 日 期 触发 。 许 多 病毒 采用 日 期 做 触发 条 件 。 日 期 触发 包括 特定 日 期 触发 .月 份 
触发 .前 半年 后 半年 触发 等 。 

(2) 时 间 和 触发 。 时 间 触 发 包括 特定 的 时 间 和 触发 . 染 毒 后 累计 工作 时 间 触 发 ,文件 最 后 
写 人 时 间 触 发 等 。 

(3) 键盘 触发 。 有 些 病 毒 监视 用 户 的 按键 动作 ,出 现 病毒 预定 的 输入 时 、 病 毒 被 激 
活 , 进行 某 些 特定 操作 。 键 盘 触 发 包括 按键 次 数 触 发 .组 合 键 触发 . 热 启 动 触发 等 。 

(4) 感染 触发 。 许 多 病毒 的 感染 需要 某 些 条 件 触发 ,而 且 相 当 数量 的 病毒 又 以 与 感 
染 有 关 的 信息 反 过 来 作为 破坏 行为 的 触发 条 件 , 称 为 感染 触发 。 感 染 触 发 包括 运行 感染 
文件 个 数 触发 .感染 次 数 触发 .感染 磁盘 数 触发 .感染 失败 触发 等 。 

(5) 启动 触发 。 病 毒 对 机 器 的 启动 次 数 计数 ,并 将 此 值 作为 触发 条 件 , 称 为 启动 
触发 。 

(6) 访问 磁盘 次 数 触发 。 病 毒 对 磁盘 1/O 访问 的 次 数 进行 计数 ,以 预定 次 数 做 触发 
条 件 , 称 为 访问 磁盘 次 数 触发 。 

(7) 调用 中 断 功 能 触发 。 病 毒 对 中 断 调 用 次 数 计数 ,以 预定 次 数 作为 触发 条 件 。 

4. 计算 机 病毒 的 工作 过 程 

计算 机 病毒 的 工作 过 程 ,如 图 8-20 所 示 。 


静态 病毒 (计算 机 病毒 ) 


8-20 计算 机 病毒 的 工作 过 程 


8.3.3 计算 机 反 病 毒 技术 
计算 机 病毒 学 鼻祖 早 在 20 世纪 80 年 代 初期 就 提出 了 计算 机 病毒 的 模型 ,证 明 只 要 
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延 用 现行 的 计算 机 体系 ,计算 机 病毒 就 存在 不 可 判定 性 。 杀 病毒 必须 先 搜集 到 病毒 样本 ， 
使 其 成 为 已 知 病毒 ,然后 训 析 病毒 .再 将 病毒 传染 的 过 程 准确 地 颠倒 过 来 ,使 被 感染 的 计 
算 机 恢复 原状 。 因 此 可 以 看 出 ,一 方面 计算 机 病毒 是 不 可 灭绝 的 , 另 一 方面 病毒 也 并 不 可 
怕 , 世 界 上 没有 杀 不 掉 的 病毒 。 

1. 反 病 毒 技术 分 类 

从 研究 的 角度 , 反 病毒 技术 主要 分 以 下 三 类 。 

(1) 预防 病毒 技术 。 预 防 病毒 技术 自身 常 驻 系统 内 存 , 优 先 获得 系统 的 控制 权 , 监 视 
和 判断 系统 中 是 否 有 病毒 存在 ,进而 阻止 计算 机 病毒 进入 计算 机 系统 和 对 系统 进行 破坏 ， 
主要 手段 包括 加 密 可 执行 程序 .引导 区 保护 ,系统 监控 与 读 写 控制 等 。 

(2) 检测 病毒 技术 。 通 过 对 计算 机 病毒 的 特征 来 进行 判断 的 侦 测 技术 ,如 自身 校 验 、 

(3) 消除 病毒 技术 。 通 过 对 病毒 的 分 析 , 杀 除 病毒 并 恢复 原文 件 。 

2. 反 病 毒 实现 技术 

从 具体 实现 技术 的 角度 ,常用 的 反 病毒 技术 有 以 下 6 种 。 

(1) 病毒 代码 扫描 法 。 将 新 发 现 的 病毒 加 以 分 析 后 根据 其 特征 编 成 病毒 代码 ,加 入 
病毒 特征 库 中 。 每 当 执 行 杀毒 程序 时 , 便 立刻 扫描 程序 文件 ,并 与 病毒 代码 比 对 , 便 能 检 
测 到 是 否 有 病毒 。 病 毒 代码 扫描 法 速度 快 .效率 高 。 使 用 特征 码 技 术 需 要 实现 一 些 补充 
功能 ,例如 近来 的 压缩 包 、 压 缩 可 执行 文件 自动 查 杀 技术 。 大 多 数 防毒 软件 均 采 用 这 种 方 
式 , 但 是 无 法 检测 到 未 知 的 新 病毒 以 及 变种 病毒 。 

(2) 人 工 智能 陷阱 (Rule-based)。 它 是 一 种 监测 计算 机 行为 的 常 驻 式 扫 描 技 术 。 它 
将 所 有 病毒 所 产生 的 行为 归纳 起 来 ,一 旦 发 现 内 存 的 程序 有 任何 不 当 的 行为 ,系统 就 会 有 
所 警觉 ,并 告知 用 户 。 其 优点 是 执行 速度 快 , 手 续 简 便 , 且 可 以 检测 到 各 种 病毒 ;其 缺点 是 
程序 设计 难 , 且 不 容易 考虑 周全 。 

(3) 软件 模拟 扫描 法 。 它 专门 用 来 对 付 千 面 人 病毒 (Polymorphic/Mutation Virus ) 。 
千 面 人 病毒 在 每 次 传染 时 ,都 以 不 同 的 随机 数 加 密 于 每 个 中 毒 的 文件 中 ,传统 病毒 代码 比 
对 的 方式 根本 就 无 法 找到 这 种 病毒 。 软 件 模拟 技术 则 成 功 地 模拟 CPU 执行 ,在 其 设计 
的 DOS 虚拟 机 器 (Virtual Machine) 下 模拟 执行 病毒 的 变 体 引擎 解码 程序 ,将 多 形体 病毒 
解 开 ,使 其 显露 原来 的 面目 ,再 加 以 扫描 。 目 前 虚拟 机 的 处 理 对 象 主要 是 文件 型 病毒 。 

对 于 引导 型 病毒 `. Word/Excel 宏 病毒 .木马 程序 在 理论 上 都 是 可 以 通过 虚拟 机 来 处 
理 的 ,但 目前 的 实现 水 平 仍 相 距 甚 远 。 就 像 病毒 编码 变形 使 得 传统 特征 值 方法 失效 一 样 ， 
针对 虚拟 机 的 新 病毒 可 以 轻易 地 使 得 虚拟 机 失效 。 虽 然 虚拟 机 也 会 在 实践 中 不 断 发 展 。 
但 是 ,PC 的 计算 能 力 有 限 , 反 病毒 软件 的 制造 成 本 也 有 限 ,而 病毒 的 发 展 可 以 说 是 无 限 
的 。 让 虚拟 技术 获得 更 加 实际 的 功效 ,甚至 要 以 此 为 基础 来 清除 未 知 病毒 ,其 难度 相 
当 大 。 

(4) 先知 扫描 法 VICE(Virus Instruction Code Emulation) 。 它 是 继 软件 模拟 技术 后 
的 一 大 突破 。 既 然 软件 模拟 可 以 建立 一 个 保护 模式 下 的 DOS 虚拟 机 器 ,模拟 CPU 动作 
并 模拟 执行 程序 以 解 开 变 体 引擎 病毒 ,那么 类 似 的 技术 也 可 以 用 来 分 析 一 般 程 序 检查 可 
疑 的 病毒 代码 。 因 此 ,VICE 将 工程 师 用 来 判断 程序 是 否 有 病毒 代码 存在 的 方法 ,分 析 归 
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224 纳 成 专家 系统 知识 库 , 再 利用 软件 工程 的 模拟 技术 (Software Emulation) 执 行 新 的 病毒 ， 

就 可 分 析出 新 病毒 代码 对 付 以 后 的 病毒 。 

该 技术 是 专门 针对 于 未 知 的 计算 机 病毒 所 设计 的 ,利用 这 种 技术 可 以 直接 模拟 CPU 
的 动作 来 侦 测 出 某 些 变种 病毒 的 活动 情况 ,并 且 研 制 出 该 病毒 的 病毒 码 。 由 于 该 技术 较 
其 他 解毒 技术 严谨 ,对 于 比较 复杂 的 程序 在 病毒 代码 比 对 上 会 耗费 比较 多 的 时 间 , 所 以 该 
技术 的 应 用 不 那么 广泛 。 

(5) 文件 宏 病 毒 陷 阱 (Macro Trap TM)。 它 结合 了 病毒 代码 比 对 与 人 工 智慧 陷阱 技 
术 , 根 据 病毒 行为 模式 (Rule base) 来 检测 已 知 及 未 知 的 宏 病 毒 。 其 中 ,配合 对 象 链接 与 
租 套 (Object Linking and Embedding) 技 术 , 可 将 宏 与 文件 分 开 , 回 快 扫描 ,并 可 有 效 地 将 

(6) 主动 内 核 技 术 (Active Kernel) 。 它 将 已 经 开发 的 各 种 网 络 防 病毒 技术 从 源 程序 
级 嵌入 操作 系统 或 网 络 系统 的 内 核 中 ,实现 网 络 防 病毒 产品 与 操作 系统 的 无 颖 连接。 这 
种 技术 可 以 保证 网 络 防 病毒 模块 从 系统 的 底层 内 核 与 各 种 操作 系统 和 应 用 环境 密切 协 
调 ,确保 防毒 操作 不 会 伤 及 操作 系统 内 核 ,同时 确保 杀 灭 病毒 的 功效 。 


8.3.4 计算 机 病毒 举例 

1. CIH 病毒 

CIH 病毒 属于 文件 型 病毒 ,只 感染 Windows 9x 操作 系统 下 的 可 执行 文件 。 当 受 感 
染 的 .exe 文件 执行 后 ,该 病毒 便 驻 留 内 存 中 ,并 感染 所 接触 到 的 其 他 PE (Portable 
Executable) 格 式 执行 程序 。 

随 着 技术 更 新 的 频率 越 来 越 快 ,主板 生产 厂商 使 用 EPROM 来 做 BIOS 的 存储 器 ,这 
是 一 种 可 擦 写 的 ROM。 通常 所 说 的 BIOS 升级 就 是 借助 特殊 程序 修改 ROM 中 BIOS 里 
的 固化 程序 。 采 用 这 种 可 擦 写 的 EPROM ,虽然 方便 了 用 户 及 时 对 BIOS 进行 升级 处 理 ， 
但 同时 也 给 病毒 带 来 了 可 乘 之 机 。CIH 的 破坏 性 在 于 它 会 攻击 BIOS、 和 覆盖 硬 盘 、 进 入 
Windows 内 核 。 

(1) 攻击 BIOS。 当 CIH 发 作 时 , 它 会 试图 向 BIOS 写 入 垃圾 信息 ,BIOS 中 的 内 容 会 
被 彻底 洗 去 。 

(2) 覆盖 硬盘 。CIH 发 作 时 ,调节 器 用 IOS-Send Command 直接 对 硬盘 进行 存 取 ,将 
垃圾 代码 以 208 个 扇 区 为 单位 ,循环 写 和 硬盘 ,直到 所 有 硬盘 上 的 数据 均 被 破坏 为 止 。 

(3) 进入 Windows 内 核 。 无 论 是 要 攻击 BIOS, 还 是 设法 驻 留 内 存 来 为 病毒 传播 创 
造 条 件 , 对 CIH 这 类 病毒 而 言 ,关键 是 要 进入 Windows 内 核 , 取 得 核心 级 控制 权 。 

为 防范 CIH 病毒 对 计算 机 主板 的 破坏 , 需 采 取 一 些 针 对 性 的 措施 。 

(1) 修改 系统 时 间 , 跳 过 病毒 的 发 作 日 。 

(2) 有 些 计算 机 系统 主板 具备 BIOS 写 保 护 跳 线 . 但 一 般 设置 均 为 开 , 可 将 其 拨 至 关 
的 位 置 ,这 样 可 以 防止 病毒 向 BIOS 写 入 信息 。 

(3) 检查 CIH 病毒 可 采用 压缩 并 解压 缩 文件 的 方式 ,如 果 解 压缩 出 现 问题 ,多 半 可 
以 肯定 有 CIHV1. 2 病毒 的 存在 ,但 用 该 方法 不 能 判断 CIHV1. 4 病毒 。 

(4) 用 户 不 要 轻易 启动 从 电子 邮件 或 从 网 站 上 下 载 的 未 知 软件 。 
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(5) 由 于 病毒 将 垃圾 码 写 人 硬盘 ,导致 硬盘 的 数据 不 能 恢复 ,务必 将 重要 数据 备份 ， 
以 免 造 成 损失 。 

2. 蠕虫 病毒 

蠕虫 病毒 的 编写 相对 其 他 形式 的 病毒 程序 来 说 简单 一 些 , 它 可 以 用 VB 语言 \C 语言 
或 者 传统 语言 来 编写 ,还 可 以 wsh 脚本 宿主 ,如 常见 的 VBScript 和 JavaScript 等 语言 来 
编写 。 但 这 并 不 意味 着 这 种 程序 的 破坏 性 小 ,相反 , 它 具 有 极 强 的 破坏 能 力 ,并 且 由 于 有 
Internet 这 个 传播 的 大 好 场所 , 它 有 着 将 传统 病毒 挤 出 市 场 的 趋势 。 

蠕虫 病 毒 与 一 般 的 计算 机 病毒 不 同 , 它 不 采用 将 自身 复制 并 附加 到 其 他 程序 中 ,所 以 
在 病毒 中 也 算是 一 个 “另类 ”。 脚 本 病毒 也 是 很 容易 制造 的 ,都 利用 了 Windows 系统 的 开 
放 性 ,特别 是 com 到 com 十 的 组 件 编程 思路 ,一 个 脚本 程序 调用 功能 更 大 的 组 件 来 完成 
自己 的 功能 。 它 们 相对 来 说 较 其 他 的 病毒 容易 编写 。 

蠕虫 病毒 与 普通 病毒 的 区 别 如 表 8-4 所 示 。 


表 8-4 蠕虫 病毒 与 普通 病毒 的 区 别 


罗 普通 病毒 蚜虫 病毒 
存在 形式 寄存 文件 独立 程序 
传染 机 抽 宿主 程序 运行 主动 攻击 
传染 目标 本 地 文件 网 络 计算 机 


8.4 黑客 的 攻击 技术 简介 


黑客 是 英文 hacker 的 音译 ,hacker 这 个 单词 源 于 动词 hack, 原 是 指 热 心 于 计算 机 技 
术 且 水 平 高 超 的 计算 机 专家 ,尤其 是 程序 设计 人 员 。 他 们 非常 精通 计算 机 硬件 和 软件 知 
识 , 对 操作 系统 和 程序 设计 语言 有 着 全 面 深刻 的 认识 ,善于 探索 计算 机 系统 的 奥秘 ,发 现 
系统 中 的 漏洞 及 原因 所 在 。 他 们 信守 永 不 破坏 任何 系统 的 原则 ,检查 系统 的 完整 性 和 安 
全 性 ,并 乐于 与 他 人 共享 研究 成 果 。 

到 今天 ,黑客 一 词 已 被 用 于 泛 指 那些 未 经 许可 就 闻 入 计算 机 系统 进行 破坏 的 人 。 他 
们 中 的 一 些 人 利用 漏洞 进入 计算 机 系统 后 ,破坏 重要 的 数据 。 另 一 些 人 利用 黑客 技术 控 
制 别人 的 计算 机 ,从 中 盗 取 重要 资源 \ 干 起 非法 勾当 ,他 们 已 经 成 了 入 侵 者 和 破坏 者 。 

造成 网 络 不 安全 的 主要 因素 有 系统 、 协 议 及 数据 库 等 设计 上 存在 的 缺陷 。 由 于 当今 
的 计算 机 网 络 操作 系统 在 本 身 结 构 设 计 和 代码 设计 时 偏重 考虑 系统 使 用 时 的 方便 性 , 导 
致 系统 在 远程 访问 、 权 限 控制 和 口令 管理 等 许多 方面 存在 安全 漏洞 。 网 络 互 联 一 般 采 用 
TCP/IP, 它 是 一 个 工业 标准 的 协议 簇 ,但 该 协议 簇 在 制订 之 初 ,对 安全 问题 考虑 不 多 , 协 
议 中 有 很 多 的 安全 漏洞 。 同 样 .数据 库 管理 系统 (DBMS) 也 存在 数据 的 安全 性 、 权 限 管理 
及 远程 访问 等 方面 的 问题 。 例 如 .在 DBMS 或 应 用 程序 中 可 以 预先 安装 从 事情 报 收集 、 
受 控 激发 .定时 发 作 等 破坏 程序 。 


多 
225 


226 


计算 机 网 络 管理 与 安全 (第 2 版 ) 


8.4.1 黑客 的 进攻 过 程 
黑客 的 进攻 过 程 如 图 8-21 所 示 。 


收集 信息 (实施 攻击 ) 一 一 (控制 主机 、 清 除 记录 ) 


8-21 黑客 的 进攻 过 程 


1. 收集 信息 

黑客 在 发 动 攻击 前 需要 锁定 目标 ,了 解 目标 的 网 络 结构 ,收集 各 种 目标 系统 的 信息 。 

(1) 锁定 目标 。 网 络 上 有 许多 主机 ,黑客 首先 要 寻找 目标 站 点 。 能 真正 标识 主机 的 
是 IP 地址 ,黑客 利用 域名 和 IP 地 址 就 可 以 顺利 地 找到 目标 主机 。 

(2) 了 解 目 标的 网 络 结构 。 确 定 要 攻击 的 目标 后 ,黑客 就 会 设法 了 解 其 所 在 的 网 络 结 
构 , 哪 里 是 网 关 、 路 由 ,哪里 有 防火 墙 ,哪些 主机 与 要 攻击 的 目标 主机 关系 密切 等 ,最 简单 
地 就 是 用 tracert 命令 追踪 路 由 ,也 可 以 发 一 些 数据 包 看 其 是 否 能 通过 ,猜测 其 防火 墙 过 
滤 规 则 的 设 定 等 。 当 然 老 练 的 黑客 在 干 这 些 的 时 候 都 会 利用 别 的 计算 机 来 间接 地 探测 ， 
从 而 隐藏 他 们 真实 的 IP 地 址 。 

(3) 收集 系统 信息 。 在 收集 到 目标 的 网 络 信息 之 后 ,黑客 会 对 网 络 上 的 每 台 主 机 进 
行 全 面 的 系统 分 析 , 以 寻求 该 主机 的 安全 漏洞 或 安全 弱点 。 收 集 系 统 信息 的 方法 有 : 开 
放 端 口 分 析 、 利 用 信息 服务 。 

首先 黑客 要 知道 目标 主机 采用 的 是 什么 操作 系统 的 什么 版 本 ,如 果 目 标 主 机 开放 
Telnet 服务 ,黑客 只 要 Telnet 目标 主机 ,就 会 显示 系统 的 登录 提示 信息 ;接着 黑客 还 会 检 
查 其 开放 端口 进行 服务 分 析 , 看 是 否 有 能 被 利用 的 服务 。 

WWW 、Mail、.FTP、Telnet 等 日 常 网 络 服务 ,通常 情况 下 Telnet 服务 的 端口 是 23， 
WWW 服务 的 端口 是 80, FTP 服务 的 端口 是 23。 利 用 信息 服务 , 像 SNMP 服务 、 
Traceroute 程序 、Whois 服务 可 以 用 来 查阅 网 络 系 统 路 由 器 的 路 由 表 , 从 而 了 解 目标 主机 
所 在 网 络 的 拓扑 结构 及 其 内 部 细节 。Traceroute 程序 能 够 获得 到 达 目 标 主机 所 要 经 过 的 
网 络 数 和 路 由 器 数 。Whois 协议 服务 能 提供 所 有 有 关 的 DNS 域 和 相关 的 管理 参数 。 

Finger 协议 可 以 用 Finger 服务 来 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 (如 用 
户 注 册 名 电话 号 码 、 最 后 注册 时 间 以 及 他 们 有 没有 读 邮 件 等 ), 所 以 如 果 没 有 特殊 的 需 
要 ,管理 员 就 应 该 关闭 这 些 服务 。 收 集 系 统 信息 当然 少不了 利用 扫描 器 来 帮 他 们 发 现 系 
统 的 各 种 漏洞 ,包括 各 种 系统 服务 漏洞 ,应 用 软件 漏洞 ,CGI , 弱 口令 用 户 等 。 

2. 实施 攻击 

当 黑 客 探 测 到 了 足够 的 系统 信息 ,对 系统 的 安全 弱点 有 了 了 解 后 就 会 发 动 攻击 ,当然 
他 们 会 根据 不 同 的 网 络 结构 不同 的 系统 情况 而 采用 不 同 的 攻击 手段 。 一 般 黑客 攻击 的 
终极 目的 是 能 够 控制 目标 系统 .窃取 其 中 的 机 密 文 件 等 ,但 并 不 是 每 次 黑客 攻击 都 能 够 达 
到 控制 目标 主机 的 目的 的 ,所 以 有 时 黑客 也 会 发 动 拒绝 服务 攻击 之 类 的 干扰 攻击 ,使 系统 
不 能 正常 工作 。 

3. 控制 主机 并 清除 记录 

黑客 利用 种 种 手段 进入 目标 主机 系统 并 获得 控制 权 之 后 ,不 会 马上 进行 破坏 活动 , 删 
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除数 据 ` 涂 改 网 页 等 。 一 般 入 侵 成 功 后 ,黑客 为 了 能 长 时 间 地 保留 和 巩固 他 对 系统 的 控制 
权 , 不 被 管理 员 发 现 ,他 会 做 两 件 事 : 清除 记录 和 留 下 后 门 。 日 志 往往 会 记录 一 些 黑客 攻 
击 的 蛛丝马迹 ,黑客 当然 不 会 留 下 这 些 “ 犯 罪证 据 ”, 他 会 删除 日 志 或 用 假日 志 覆 盖 它 。 为 
了 日 后 可 以 不 被 觉察 地 再 次 进入 系统 ,黑客 会 更 改 某 些 系统 设置 .在 系统 中 置信 特洛伊 森 
马 或 其 他 一 些 远程 操作 程序 。 也 可 能 什么 都 不 动 ,只 是 把 目标 主机 的 系统 作为 他 存放 黑 
客 程序 或 资料 的 仓库 ,黑客 也 可 能 会 利用 这 台 已 经 攻陷 的 主机 去 继续 他 下 一 步 的 攻击 ,如 
继续 入 侵 内 部 网 络 , 或 者 利用 这 台 主 机 发 动 DOS 攻击 使 网 络 瘫 痰 。 


8.4.2 黑客 常用 的 攻击 方法 


计算 机 系统 中 存在 的 安全 隐患 , 便 成 为 黑客 进行 攻击 的 地 方 ,黑客 创造 了 多 种 攻击 方 
法 ,常用 的 攻击 方法 如 图 8-22 所 示 。 


黑客 常用 的 攻击 方法 
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8-22 黑客 常用 的 攻击 方法 


1. 口令 攻击 

口令 攻击 是 黑客 最 老牌 的 攻击 方法 ,从 黑客 诞生 的 那天 起 它 就 开始 被 使 用 ,这 种 攻击 
方式 有 三 种 : 

(1) 暴力 破解 法 。 在 知道 用 户 的 账号 后 用 一 些 专门 的 软件 强行 破解 用 户口 令 ( 包 括 
远程 登录 破解 和 对 密码 存储 文件 Passwd、Sam 的 破解 )。 这 种 方法 要 有 足够 的 耐心 和 时 
间 , 但 总 有 那么 一 些 使 用 简单 口令 的 用 户 账号 ,使 得 黑客 可 以 迅速 将 其 破解 。 

(2) 伪造 登录 界面 法 。 在 被 攻击 主机 上 启动 一 个 可 执行 程序 ,该 程序 显示 一 个 伪造 
的 登录 界面 , 当 用 户 在 这 个 伪装 的 界面 上 输入 用 户 名 、 密 码 后 ,程序 就 将 用 户 输入 的 信息 
传送 到 攻击 者 主机 。 

(3) 通过 网 络 监听 来 得 到 用 户口 令 。 这 种 方法 危害 性 很 大 ,监听 者 往往 能 够 获得 其 
中 一 个 网 段 的 所 有 用 户 账号 和 口令 。 

2. 特洛伊 木马 攻击 

特洛伊 木马 程序 攻击 也 是 黑客 常用 的 攻击 手段 ,黑客 会 编写 一 些 看 似 “ 合 法 ”的 程序 ， 
但 实际 上 此 程序 隐藏 着 其 他 非法 功能 ,例如 一 个 外 表 看 似 是 一 个 有 趣 的 小 游戏 的 程序 , 实 
际 运行 的 同时 它 在 后 台 为 黑客 创建 了 一 条 访问 你 的 系统 的 通道 ,这 就 是 特洛伊 木马 程序 。 

当然 只 有 当 用 户 运行 了 木马 后 才 会 达到 攻击 的 效果 ,所 以 黑客 会 把 它 上 传 到 一 些 站 
点 引诱 用 户 下 载 .或 者 用 E-mail 寄 给 用 户 并 编造 各 种 理由 骗 用 户 运 行 它 , 当 用 户 运行 此 
软件 后 ,该 软件 会 悄悄 执行 它 的 非法 功能 : 跟踪 用 户 的 计算 机 操作 ,记录 用 户 输入 的 口 
令 、 上 网 账号 等 敏感 信息 ,并 把 它们 发 送 到 黑客 指定 的 电子 信箱 。 如 果 是 像 冰 河 ` 灰 角子 
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228 ”这 样 功能 强大 的 远程 控制 木马 ,黑客 还 可 以 像 在 本 地 操作 一 样 地 远程 操控 用 户 的 计算 机 。 

3. 漏洞 攻击 

利用 漏洞 攻击 是 黑客 攻击 中 最 容易 得 偿 的 方法 。 许 多 系统 及 网 络 应 用 软件 都 存在 着 
各 种 各 样 的 安全 漏洞 ,如 Windows 98 的 共享 目录 密码 验证 漏洞 , Windows 2000 的 
Unicode Printer Ida Idq、Webdarv 漏洞 ,UNIX 的 Telnet、RPC 漏洞 ,Sendmail 的 邮件 服 
务 软件 漏洞 ,还 有 基于 Web 服务 的 各 种 CGI 漏洞 等 ,这 些 都 是 最 容易 被 黑客 利用 的 系统 
漏洞 。 特 别 是 其 中 的 一 些 缓冲 区 溢出 漏洞 ,利用 这 些 缓冲 区 溢出 漏洞 ,黑客 不 但 可 以 通过 
发 送 特殊 的 数据 包 来 使 服务 或 系统 瘫痪 ,甚至 可 以 精确 地 控制 溢出 后 在 堆栈 中 写 入 的 代 
码 , 以 使 其 能 执行 黑客 的 任意 命令 ,从 而 进入 并 控制 系统 。 

4. 拒绝 服务 攻击 

拒绝 服务 攻击 (DoS) 是 一 种 最 悠久 也 是 最 常见 的 攻击 形式 , 它 利 用 TCP/IP 的 缺陷 ， 
将 提供 服务 的 网 络 资源 耗 尽 , 导 致 网 络 不 能 提供 正常 服务 ,是 一 种 对 网 络 危害 巨大 的 恶意 
攻击 。 其 实 严格 来 说 拒绝 服务 攻击 并 不 是 某 一 种 具体 的 攻击 方式 ,而 是 攻击 所 表现 出 来 
的 结果 ,最 终 使 得 目标 系统 因 遭 受 某 种 程度 的 破坏 而 不 能 继续 提供 正常 的 服务 ,甚至 导致 
物理 上 的 瘫痪 或 崩溃 。Dos 攻击 方法 可 以 是 单一 的 手段 ,也 可 以 是 多 种 方式 的 组 合 利用 ， 
不 过 其 结果 都 是 一 样 的 , 即 合法 的 用 户 无 法 访问 所 需 的 信息 。 

通常 拒绝 服务 攻击 可 分 为 两 种 类 型 : 一 种 攻击 是 黑客 利用 网 络 协议 缺陷 或 系统 漏洞 
发 送 一 些 非法 的 数据 或 数据 包 , 使 得 系统 死机 或 重新 启动 ,从 而 使 一 个 系统 或 网 络 瘫痪 ， 
如 Land 攻击 、WinNuke、Ping of Death、TearDrop 等 ; 男 一 种 攻击 是 黑客 在 短 时 间 内 发 送 
大 量 伪造 的 连接 请 求 报 文 到 网 络 服务 所 在 的 端口 ,例如 80 端口 ,从 而 消耗 系统 的 带宽 或 
设备 的 CPU 和 内 存 , 造 成 服务 器 的 资源 耗 尽 ,系统 停止 响应 甚至 崩溃 ,其 中 ,具有 代表 性 
的 攻击 手段 包括 SYN flood ICMP flood、UDP flood 等 。 

分 布 式 拒 绝 服务 (DDoS) 攻 击 是 目前 网 络 的 头号 威胁 ,是 在 传统 的 DoS 攻击 基础 之 
上 产生 的 一 种 攻击 方式 。 单 一 的 DoS 攻击 一 般 采 用 一 对 一 攻击 ,而 分 布 式 的 拒绝 服务 攻 
击 是 黑客 控制 多 台 计 算 机 (可 以 是 几 台 也 可 以 是 成 千 上 万 台 ) 同 时 攻击 ,这 样 的 攻击 即使 
是 一 些 大 网 站 也 很 难 抵御 。 

5. 欺骗 攻击 

常见 黑客 欺骗 攻击 方法 有 : IP 欺骗 攻击 .DNS 欺骗 邮件 欺骗 攻击 、 网 页 欺骗 攻击 等 。 

(1) IP 欺骗 攻击 。 黑 客 改变 自己 的 IP 地址 ,伪装 成 别人 计算 机 的 IP 地 址 来 获得 信 
息 或 者 得 到 特权 。 如 UNIX 机 器 之 间 能 建立 信任 关系 ,使 得 这 些 主机 的 访问 变 得 容易 ， 
而 这 个 信任 关系 基本 上 是 使 用 IP 地 址 进行 验证 的 ,这 样 你 就 知道 IP 欺骗 能 干什么 了 吧 。 

(2) 电子 信件 欺骗 攻击 。 黑 客 向 某 位 用 户 发 了 一 封 电子 邮件 ,并 且 修 改 了 邮件 头 信 
息 ( 使 得 邮件 地 址 看 上 去 和 这 个 系统 管理 员 的 邮件 地 址 完全 相同 ), 信 中 他 冒 称 自己 是 系 
统管 理 员 ,说 由 于 系统 服务 器 故障 导致 部 分 用 户 数据 丢失 ,要 求 该 用 户 把 他 的 个 人 信息 马 
上 用 E-mail 回复 给 他 ,这 就 是 一 个 典型 的 电子 邮件 欺骗 攻击 的 例子 。 

(3) 网 页 欺骗 攻击 。 黑 客 将 某 个 站 点 的 网 页 都 复制 下 来 ,然后 修改 其 链接 ,使 得 用 户 
访问 这 些 链 接 时 先 经 过 黑客 控制 的 主机 ,然后 黑客 会 想方设法 让 用 户 访 问 这 个 修改 后 的 
网 页 ,他 则 监控 用 户 的 整个 HTTP 请 求 过 程 ,窃取 用 户 的 账号 和 口令 等 信息 ,甚至 假冒 用 
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户 给 服务 器 发 接 数 据 。 如 果 这 个 网 页 是 电子 商务 站 点 , 那 用 户 的 损失 就 可 想 而 知 了 。 

6. 嗅 探 攻 击 

要 了 解 嗅 探 攻 击 方法 , 先 要 知道 它 的 原理 。 网 络 的 一 个 特点 就 是 数据 总 是 在 流动 中 
的 , 当 数 据 从 网 络 的 一 台 计算 机 到 另 一 台 计 算 机 的 时 候 , 通 常会 经 过 大 量 不 同 的 网 络 设 
备 ,在 传输 过 程 中 ,有 人 可 能 会 通过 特殊 的 设备 ( 嗅 探 器 ,有 硬件 和 软件 两 种 ) 捕 获 这 些 传 
输 网 络 数据 的 报 文 。 

嗅 探 攻击 主要 有 两 种 途径 ,一 种 是 针对 简单 的 采用 集线器 (Hub) 连 接 的 局 域 网 ,黑客 只 
要 能 把 嗅 探 器 安装 到 这 个 网 络 中 的 任何 一 台 计算 机 上 就 可 以 实现 对 整个 局 域 网 的 侦 听 ,这 
是 因为 共享 Hub 获得 一 个 子 网 内 需要 接收 的 数据 时 ,并 不 是 直接 发 送 到 指定 主机 ,而 是 通 
过 广播 方式 发 送 到 每 台 计 算 机 的 。 正 常情 况 下 ,数据 接受 的 目标 计算 机 会 处 理 该 数据 ,而 其 
他 非 接 受 者 的 计算 机 会 过 滤 这 些 数据 ,但 安装 了 嗅 探 器 的 计算 机 则 会 接收 所 有 数据 。 

另 一 种 是 针对 交换 网 络 的 ,由 于 交换 网 络 的 数据 是 从 一 台 计 算 机 发 送 到 预定 的 计算 
机 ,而 不 是 广播 的 ,所 以 黑客 必须 将 嗅 探 器 放 到 像 网 关 服 务 器 .路 由 器 这 样 的 设备 上 才能 
监听 到 网 络 上 的 数据 ,当然 这 比较 困难 ,但 一 旦 成 功 就 能 够 获得 整个 网 段 的 所 有 用 户 账号 
和 口令 ,所 以 黑客 还 是 会 通过 其 他 种 种 攻击 手段 来 实现 它 的 ,如 通过 木马 方式 将 嗅 探 器 发 
给 某 个 网 络 管理 员 ,使 其 不 自觉 地 为 攻击 者 进行 了 安装 。 

7. 会 话 动 持 攻击 

假设 某 黑客 在 暗地里 等 待 着 某 位 合法 用 户 通 过 Telnet 远程 登录 到 一 台 服 务 嚣 上 , 当 
这 位 用 户 成 功 地 提交 密码 后 ,这 个 黑客 就 开始 接管 该 用 户 当 前 的 会 话 并 摇 身 变 成 这 个 用 
户 , 这 就 是 会 话 劫持 攻击 。 在 一 次 正常 的 通信 过 程 中 ,黑客 作为 第 三 方 参与 其 中 ,或 者 是 
在 数据 流 (例如 基于 TCP 的 会 话 ) 里 注射 额外 的 信息 ,或 者 是 将 双方 的 通信 模式 暗中 改 
变 , 即 从 直接 联系 变 成 有 黑客 联系 。 会 话 劫持 是 一 种 结合 了 嗅 探 以 及 欺骗 技术 在 内 的 攻 
击 手段 ,最 常见 的 是 TCP 会 话 劫持 , 像 HTTP、FTP、Telnet 都 可 能 被 进行 会 话 劫持 。 

要 实现 会 话 劫持 ,黑客 首先 必须 窥探 到 正在 进行 TCP 通信 的 两 台 主 机 之 间 传 送 的 报 文 
源 下 \ 源 TCP 端口 号 .目的 下 .目的 TCP 端 号 ,从 而 推算 出 其 中 一 台 主机 将 要 收 到 的 下 一 个 
TCP 报 文 段 中 的 seq 和 ackseq 值 , 这 样 在 该 合法 主机 收 到 另 一 台 合 法 主机 发 送 的 TCP 报 文 
前 ,攻击 者 根据 所 截获 的 信息 向 该 主机 发 出 一 个 带 有 净 荷 的 TCP 报 文 ,如 果 该 主机 先 收 到 
攻击 报 文 ,就 可 以 把 合法 的 TCP 会 话 建立 在 攻击 主机 与 被 攻击 主机 之 间 。 带 有 净 荷 的 攻击 
报 文 能 够 使 被 攻击 主机 对 下 一 个 要 收 到 的 TCP 报 文中 的 确认 序号 (ackseq) 的 值 的 要 求 发 生 
变化 ,从 而 使 男 一 台 合 法 的 主机 向 被 攻击 主机 发 出 的 报 文 被 拒绝 。 

会 话 劫持 攻击 避 开 了 被 攻击 主机 对 访问 者 的 身份 验证 和 安全 认证 ,从 而 使 黑客 能 直 
接 进 入 被 攻击 主机 ,对 系统 安全 构成 的 威胁 比较 严重 。 实 现 会 话 劫持 攻击 不 但 需要 复杂 
的 技术 ,而且 还 需要 对 攻击 时 间 的 精确 把 握 , 所 以 会 话 劫持 攻击 并 不 是 太 常见 。 


8.4.3 黑客 的 常用 工具 


黑客 工具 是 指 编写 出 来 的 用 于 网 络 安全 方面 的 工具 软件 ,其 功能 是 支持 网 络 攻击 过 
程 。 下 面 对 黑客 的 工具 进行 简单 的 介绍 。 
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1. 扫描 类 软件 

扫描 是 黑客 的 眼睛 ,通过 扫描 程序 ,黑客 可 以 找到 攻击 目标 的 IP 地 址 .开放 的 端口 
号 、 服 务 器 运行 的 版 本 、 程 序 中 可 能 存在 的 漏洞 等 。 根 据 不 同 的 扫描 目的 ,扫描 类 软件 又 
分 为 地 址 扫描 器 ,端口 扫描 器 ,漏洞 扫描 器 三 个 类 别 。 

在 很 多 人 看 来 ,这 些 扫描 器 获得 的 信息 大 多 数 都 是 没有 用 处 的 ,然而 在 黑客 看 来 , 扫 
描 器 好 比 黑客 的 眼睛 , 它 可 以 让 黑客 清楚 地 了 解 目标 :有 经 验 的 黑客 则 可 以 将 目标 * 摸 得 
一 清二 楚 ” ,这 对 于 攻击 来 说 是 至 关 重 要 的 。 同 时 扫描 器 也 是 网 络 管理 员 的 得 力 助手 ,网 
络 管理 员 可 以 通过 扫描 器 了 解 自己 系统 的 运行 状态 和 可 能 存在 的 漏洞 ,在 黑客 “下 手 ? 之 
前 将 系统 中 的 隐患 清除 ,保证 服务 器 的 安全 稳定 。 扫 描 器 类 软件 有 流光 、SuperScan、 
X-way 等 。SuperScan 的 界面 如 图 8-23 所 示 。 


图 8-23 SuperScan 的 界面 


2. 远程 监控 类 软件 

远程 监控 也 叫做 “木马 ”, 这 种 程序 实际 上 是 在 服务 器 上 运行 一 个 客户 端 软件 ,同时 在 
黑客 的 计算 机 中 运行 一 个 服务 端 软件 ,如 此 一 来 ,服务 器 将 会 变 成 黑客 的 服务 器 的 “ 手 
下 ”, 也 就 是 说 黑客 将 会 利用 木马 程序 在 服务 器 上 开 一 个 端口 ,通过 这 种 特殊 的 木马 功能 
对 服务 器 进行 监视 ,控制 。 因 此 ,只 要 黑客 掌握 了 某 个 木马 的 使 用 和 操作 方法 ,就 可 以 轻 
易 接管 网 络 服务 器 或 者 其 他 上 网 者 的 计算 机 。 

在 控制 了 服务 器 之 后 ,黑客 的 攻击 行动 也 就 接近 尾声 了 ,然而 在 攻击 之 前 ,黑客 必须 
想 办 法 让 服务 器 运行 木马 的 客户 端 程序 ,这 就 需要 利用 漏洞 或 者 进行 欺骗 。 远 程 监控 类 
软件 有 冰河 ` 灰 合子 等 。 冰 河 软件 的 界面 如 图 8-24 所 示 。 

3. 系统 攻击 和 密码 破解 类 软件 

这 类 软件 大 多 数 都 是 由 高 级 黑客 编写 出 来 供 初级 黑客 使 用 的 现成 软件 ,软件 本 身 不 
需要 使 用 者 具备 太 多 知识 ,使 用 者 只 要 按照 软件 说 明 操作 就 可 以 达到 软件 的 预期 目的 。 

系统 攻击 类 软件 主要 分 为 信息 炸弹 和 破坏 炸弹 。 网 络 上 常见 的 垃圾 电子 邮件 就 是 这 
种 软件 的 “杰作 ”, 还 有 聊天 室 中 经 常 看 到 的 “ 踢 人 ”“ 骂 人 ?类 软件 .论坛 的 垃圾 灌水 器 、 系 
统 蓝 屏 炸弹 也 都 属于 此 类 软件 的 变异 形式 。 


第 8 章 系统 安全 “7 多 


231 


;冰河 72.2 [DARKSUN 专 版 ] 
文件 了 编辑 [E] 。 设置 [6] 。 帮助 上 


台中 到 里 加 年 到 要 两 名 了 
当前 连接 : 「 可 端口: Re26 访问 品 令 :| 应 用 [8] 


局 文人 管理 器 | 双 命 人 控制 6 | 
s BE 文件 大 小 全 节 ) | 是 后 更 新 时 间 


共有 5 个 对 象 


图 8-24 冰河 软件 界面 


密码 破解 类 软件 可 以 帮助 黑客 寻找 系统 登录 密码 ,相对 于 利用 漏洞 ,暴力 破解 密码 要 
简单 许多 ,效率 非常 低 , 但 是 黑客 无 论 是 使 用 密码 破解 软件 还 是 利用 漏洞 进入 系统 ,都 能 
达到 入 侵 的 目的 。 

常用 的 系统 供给 和 密码 破解 类 软件 有 溯 雪 、 黑 十 .网 络 刺客 下 等 。 网 络 刺 客 开 软 件 的 
界面 如 图 8-25 所 示 。 


》 天 行 软件 之 网 络 草 客 II [CH105 专 版 ] Beta(Build 90) 同 占 | 品 | 
主机 资源 号 ) 共享 资源 GE) 薄 解 机 (D 窗 码 字 奥 鲁 ) 工具 箱 QD 响 挥 器 0D 综合 配置 E) 帮助 
黑 委 自 令 局 仿 导 A 区 者 到 


时 间 源 地 址 状态 目标 地 址 用 户 各 EA 


网 络 刺 | 容 11 Deta INetllacker 咱 


有 (cl 大 行 软件 王国 1998-1999 
伟 山 


版 权 所 有 CEC) 天 行 软件 王国 ”作者 : 陈 伟 山 1999.4 于 福建 龙 洁 


图 8-25 网 络 刺 客 开 界面 


4. 监听 类 软件 

通过 监听 ,黑客 可 以 截获 网 络 的 信息 包 , 之 后 对 加 密 的 信息 包 进行 破解 ,进而 分 析 包 
内 的 数据 ,获得 有 关系 统 的 信息 ;也 可 能 截获 个 人 上 网 的 信息 包 , 获 得 用 户 的 上 网 账号 、 系 
统 账 号 .电子 邮件 账号 等 个 人 隐私 资料 。 监 听 类 软件 有 Sinffit、nc、Capture Net 等 。 
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232 CaptureNet 软件 的 界面 如 图 8-26 所 示 。 
无 标题 - CaptureWet v3.12 
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本 章 主要 介绍 了 加 强 计算 机 网 络 系统 安全 性 的 主要 方法 和 技术 手段 。 

在 增强 操作 系统 安全 性 上 主要 学 习 了 Windows 域 模式 下 提高 系统 安全 性 的 主要 技 
术 手 段 : 身份 认证 和 访问 控制 。 这 些 工 作 都 是 操作 系统 在 后 台 自 动 进行 的 ,是 网 络 环境 
下 进行 资源 共享 .信息 共享 的 基础 ,对 于 它 的 学 习 有 助 于 我 们 理解 与 之 相关 的 网 络 设置 和 
网 络 编程 。 

在 增强 系统 安全 性 上 ,主要 介绍 了 计算 机 病毒 的 特点 .工作 原理 及 常用 的 防 病毒 技 
术 。 同 时 还 介绍 了 防火 墙 技术 以 及 常用 的 防火 墙 的 体系 结构 ,通过 学 习 了 解 到 防火 墙 是 
进行 内 网 外 网 分 隔 的 有 效 工 具 , 同 时 体会 到 防 病毒 软件 与 防火 墙 在 提高 计算 机 网 络 安全 
性 上 的 不 同 功用 。 最 后 简单 介绍 了 破坏 计算 机 网 络 系统 的 人 一 一 黑客 ,以 及 黑客 常用 的 
进攻 手段 和 进攻 过 程 。 


8 加 木 章 习 题 


. 简 述 Windows 2003 进行 身份 认证 的 基本 过 程 。 

简 述 计算 机 病毒 的 基本 工作 过 程 及 主要 的 反 病 毒 技术 。 
. 简 述 防火 墙 的 工作 原理 及 体系 结构 。 

. 简 述 CIH 病毒 与 蠕虫 病毒 的 区 别 。 


和 DD- 
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信息 安全 等 级 保护 管理 办 法 


第 一 章 总 则 


第 一 条 ”为 规范 信息 安全 等 级 保护 管理 ,提高 信息 安全 保障 能 力 和 水 平 ,维护 国家 安 
全 ,社会 稳定 和 公共 利益 ,保障 和 促进 信息 化 建设 ,根据 (中 华人 民 共 和 国 计 算 机 信息 系统 
安全 保护 条 例 ) 等 有 关 法 律 法 规 ,制定 本 办 法 。 

第 二 条 ”国家 通过 制定 统一 的 信息 安全 等 级 保护 管理 规范 和 技术 标准 ,组 织 公民 ,法 
人 和 其 他 组 织 对 信息 系统 分 等 级 实行 安全 保护 ,对 等 级 保护 工作 的 实施 进行 监督 .管理 。 

第 三 条 ”公安 机 关 负 责 信 息 安全 等 级 保护 工作 的 监督 ,检查 指导 。 国 家 保密 工作 部 
门 负责 等 级 保护 工作 中 有 关 保 密 工 作 的 监督 检查、 指导 。 国 家 密码 管理 部 门 负责 等 级 保 
护 工作 中 有 关 密 码 工 作 的 监督 检查、 指导 。 涉 及 其 他 职能 部 门 管辖 范围 的 事项 ,由 有 关 
职能 部 门 依照 国家 法 律 法 规 的 规定 进行 管理 。 国 务 院 信 息 化 工作 办 公 室 及 地 方 信息 化 领 
导 小 组 办 事 机 构 负责 等 级 保护 工作 的 部 门 间 协调 。 

第 四 条 ”信息 系统 主管 部 门 应 当 依 照 本 办 法 及 相关 标准 规范 ,督促 、 检 查 、 指 导 本 行 
业 、 本 部 门 或 者 本 地 区 信息 系统 运营 、 使 用 单位 的 信息 安全 等 级 保护 工作 。 

第 五 条 ”信息 系统 的 运营 、 使 用 单位 应 当 依照 本 办 法 及 其 相关 标准 规范 ,履行 信息 安 
全 等 级 保护 的 义务 和 责任 。 


第 二 章 ”等 级 划分 与 保护 


第 六 条 ”国家 信息 安全 等 级 保护 坚持 自主 定 级 、 自 主 保护 的 原则 。 信 息 系统 的 安全 
保护 等 级 应 当 根 据 信息 系 统 在 国家 安全 经 济 建设 ,社会 生活 中 的 重要 程度 ,信息 系统 遭 
到 破坏 后 对 国家 安全 、 社 会 秩序 、 公 共 利 益 以 及 公民 、 法 人 和 其 他 组 织 的 合法 权益 的 危害 
程度 等 因素 确定 。 

第 七 条 ”信息 系统 的 安全 保护 等 级 分 为 以 下 五 级 : 

第 一 级 ,信息 系统 受到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 损害 ,但 不 
损害 国家 安全 、 社 会 秩序 和 公共 利益 。 

第 二 级 ,信息 系统 受到 破坏 后 .会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 产生 严重 损害 ， 
或 者 对 社会 秩序 和 公共 利益 造成 损害 ,但 不 损害 国家 安全 。 
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第 三 级 ,信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 严重 损害 ,或 者 对 国家 
安全 造成 损害 。 

第 四 级 ,信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 特别 严重 的 损害 ,或 者 
对 国家 安全 造成 严重 损害 。 

第 五 级 ,信息 系统 受到 破坏 后 ,会 对 国家 安全 造成 特别 严重 的 损害 。 

第 八条 ”信息 系统 运营 ,使 用 单位 依据 本 办 法 和 相关 技术 标准 对 信息 系统 进行 保护 ， 
国家 有 关 信 息 安 全 监管 部 门 对 其 信息 安全 等 级 保护 工作 进行 监督 管理 。 

第 一 级 信息 系统 运营 、 使 用 单位 应 当 依据 国家 有 关 管 理 规范 和 技术 标准 进行 保护 。 

第 二 级 信息 系统 运营 、 使 用 单位 应 当 依据 国家 有 关 管 理 规 范 和 技术 标准 进行 保护 。 
国家 信息 安全 监管 部 门 对 该 级 信息 系统 信息 安全 等 级 保护 工作 进行 指导 。 

第 三 级 信息 系统 运营 \ 使 用 单位 应 当 依据 国家 有 关 管 理 规范 和 技术 标准 进行 保护 。 
国家 信息 安全 监管 部 门 对 该 级 信息 系统 信息 安全 等 级 保护 工作 进行 监督 .检查 。 

第 四 级 信息 系统 运营 、 使 用 单位 应 当 依 据 国家 有 关 管 理 规范 ,技术 标准 和 业务 专门 需 
求 进 行 保护 。 国 家 信息 安全 监管 部 门 对 该 级 信息 系统 信息 安全 等 级 保护 工作 进行 强制 监 
督 、 检 查 。 

第 五 级 信息 系统 运营 、 使 用 单位 应 当 依据 国家 管理 规范 ,技术 标准 和 业务 特殊 安全 需 
求 进行 保护 。 国 家 指定 专门 部 门 对 该 级 信息 系统 信息 安全 等 级 保护 工作 进行 专门 监督 、 
检查 。 

第 三 章 ”等 级 保护 的 实施 与 管理 


第 九条 ”信息 系统 运营 ,使 用 单位 应 当 按照 (信息 系统 安全 等 级 保护 实施 指南 ) 具 体 
实施 等 级 保护 工作 。 

第 十 条 ”信息 系统 运营 ,使 用 单位 应 当 依据 本 办 法 和 《信息 系统 安全 等 级 保护 定 级 指 
南 ) 确 定 信 息 系 统 的 安全 保护 等 级 。 有 主管 部 门 的 ,应 当 经 主管 部 门 审核 批准 。 跨 省 或 者 
全 国 统一 联网 运行 的 信息 系统 可 以 由 主管 部 门 统一 确定 安全 保护 等 级 。 对 拟 确定 为 第 四 
级 以 上 信息 系统 的 ,运营 、 使 用 单位 或 者 主管 部 门 应 当 请 国家 信息 安全 保护 等 级 专家 评审 
委员 会 评审 。 

第 十 一 条 “信息 系统 的 安全 保护 等 级 确定 后 ,运营 、 使 用 单位 应 当 按照 国家 信息 安全 
等 级 保护 管理 规范 和 技术 标准 ,使 用 符合 国家 有 关 规 定 ,满足 信息 系统 安全 保护 等 级 需求 
的 信息 技术 产品 ,开展 信息 系统 安全 建设 或 者 改建 工作 。 

第 十 二 条 ”在 信息 系统 建设 过 程 中 ,运营 、 使 用 单位 应 当 按 照 ( 计 算 机 信息 系统 安全 
保护 等 级 划分 准则 》(GB 17859 一 1999) 《信息 系统 安全 等 级 保护 基本 要 求 ) 等 技术 标准 ， 
参照 《信息 安全 技术 信息 系统 通用 安全 技术 要 求 )(GB/T 20271 一 2006)《 信 息 安全 技术 
网 络 基础 安全 技术 要 求 )(GB/T 20270 一 2006) 《信息 安 全 技术 操作 系统 安全 技术 要 求 》 
(GB/T 20272 一 2006) 《信息 安全 技术 数据 库 管理 系统 安全 技术 要 求 》(GB/T 20273 
2006) 《信息 安全 技术 服务 器 技术 要 求 》《 信 息 安全 技术 终端 计算 机 系统 安全 等 级 技术 要 
求 )KGA/T 671 一 2006) 等 技术 标准 同步 建设 符合 该 等 级 要 求 的 信息 安全 设施 。 

第 十 三 条 和 运营、 使 用 单位 应 当 参照 (信息 安全 技术 信息 系统 安全 管理 要 求 》(GB/T 


附录 信息 安全 等 级 保护 管理 办 法 


20269 一 2006) 《信息 安全 技术 信息 系统 安全 工程 管理 要 求 MGB/T 20282 一 2006)《 信 息 
系统 安全 等 级 保护 基本 要 求 ) 等 管理 规范 ,制定 并 落实 符合 本 系统 安全 保护 等 级 要 求 的 安 
全 管理 制度 。 

第 十 四 条 ”信息 系统 建设 完成 后 ,运营 、 使 用 单位 或 者 其 主管 部 门 应 当选 择 符合 本 办 
法 规定 条 件 的 测评 机 构 ,依据 (信息 系统 安全 等 级 保护 测评 要 求 ) 等 技术 标准 ,定期 对 信息 
系统 安全 等 级 状况 开展 等 级 测评 。 第 三 级 信息 系统 应 当 每 年 至 少 进行 一 次 等 级 测评 ,第 
四 级 信息 系统 应 当 每 半年 至 少 进行 一 次 等 级 测评 ,第 五 级 信息 系统 应 当 依 据 特 殊 安全 需 
求 进行 等 级 测评 。 信 息 系统 运营 、 使 用 单位 及 其 主管 部 门 应 当 定 期 对 信息 系统 安全 状况 、 
安全 保护 制度 及 措施 的 落实 情况 进行 自 查 。 第 三 级 信息 系统 应 当 每 年 至 少 进行 一 次 自 
查 , 第 四 级 信息 系统 应 当 每 半年 至 少 进行 一 次 自 查 ,第 五 级 信息 系统 应 当 依据 特殊 安全 需 
求 进行 自 查 。 经 测评 或 者 自 查 ,信息 系统 安全 状况 未 达到 安全 保护 等 级 要 求 的 ,运营 ,使 
用 单位 应 当 制 定 方案 进行 整改 。 

第 十 五 条 ”已 运营 (运行 ) 的 第 二 级 以 上 信息 系统 ,应 当 在 安全 保护 等 级 确定 后 30 日 
内 ,由 其 运营 ,使 用 单位 到 所 在 地 设 区 的 市 级 以 上 公安 机 关 办 理 备案 手续 。 新 建 第 二 级 以 
上 信息 系统 ,应 当 在 投入 运行 后 30 日 内 ,由 其 运营 、 使 用 单位 到 所 在 地 设 区 的 市 级 以 上 公 
安 机 关 办 理 备案 手续 。 隶属 于 中 央 的 在 京 单位 ,其 跨 省 或 者 全 国 统一 联网 运行 并 由 主管 
部 门 统一 定 级 的 信息 系统 ,由 主管 部 门 向 公安 部 办 理 备案 手 续 。 跨 省 或 者 全 国 统一 联网 
运行 的 信息 系统 在 各 地 运行 ,应 用 的 分 支 系统 ,应 当 向 当地 设 区 的 市 级 以 上 公安 机 关 
备案 。 

第 十 六 条 ”办理 信 息 系 统 安全 保护 等 级 备案 手续 时 ,应 当 填 写 ( 信 息 系 统 安全 等 级 保 
护 备 案 表 》, 第 三 级 以 上 信息 系统 应 当 同 时 提供 以 下 材料 : 

(一 ) 系统 拓扑 结构 及 说 明 ; 

(二 ) 系统 安全 组 织 机 构 和 管理 制度 ; 

(三 ) 系统 安全 保护 设施 设计 实施 方案 或 者 改建 实施 方案 ; 

(四 ) 系统 使 用 的 信息 安全 产品 清单 及 其 认证 、 销 售 许可 证 明 ; 

(五 ) 测评 后 符合 系统 安全 保护 等 级 的 技术 检测 评估 报告 ; 

(六 ) 信息 系统 安全 保护 等 级 专家 评审 意见 ; 

(七 ) 主管 部 门 审核 批准 信息 系统 安全 保护 等 级 的 意见 。 

第 十 七 条 ”信息 系统 备案 后 .公安 机 关 应 当 对 信息 系统 的 备案 情况 进行 审核 ,对 符合 
等 级 保护 要 求 的 ,应 当 在 收 到 备案 材料 之 日 起 的 10 个 工作 日 内 颁发 信息 系统 安全 等 级 保 
护 备 案 证 明 ;发 现 不 符合 本 办 法 及 有 关 标 准 的 ,应 当 在 收 到 备案 材料 之 日 起 的 10 个 工作 
日 内 通知 备案 单位 予以 纠正 ;发 现 定 级 不 准 的 ,应 当 在 收 到 备案 材料 之 日 起 的 10 个 工作 
日 内 通知 备案 单位 重新 审核 确定 。 运 营 、 使 用 单位 或 者 主管 部 门 重新 确定 信息 系统 等 级 
后 ,应 当 按照 本 办 法 向 公安 机 关 重 新 备案 。 

第 十 八条 ”受理 备案 的 公安 机 关 应 当 对 第 三 级 、 第 四 级 信息 系统 的 运营 ,使 用 单位 的 
信息 安全 等 级 保护 工作 情况 进行 检查 。 对 第 三 级 信息 系统 每 年 至 少 检查 一 次 ,对 第 四 级 
信息 系统 每 半年 至 少 检查 一 次 。 对 跨 省 或 者 全 国 统一 联网 运行 的 信息 系统 的 检查 ,应 当 
会 同 其 主管 部 门 进 行 。 对 第 五 级 信息 系统 .应 当 由 国家 指定 的 专门 部 门 进行 检查 。 公 安 
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236 ” 机关、 国家 指定 的 专门 部 门 应 当 对 下 列 事项 进行 检查 : 

(一 ) 信息 系统 安全 需求 是 否 发 生变 化 , 原 定 保护 等 级 是 否 准确 ; 

(二 ) 运营 ,使 用 单位 安全 管理 制度 ,措施 的 落实 情况 ; 

(三 ) 运营 ,使 用 单位 及 其 主管 部 门 对 信息 系统 安全 状况 的 检查 情况 ; 

(四 ) 系统 安全 等 级 测评 是 否 符合 要 求 ; 

(五 ) 信息 安全 产品 使 用 是 否 符合 要 求 ; 

(六 ) 信息 系统 安全 整改 情况 ; 

(七 ) 备案 材料 与 运营 ,使 用 单位 、 信 息 系统 的 符合 情况 ; 

( 八 ) 其 他 应 当 进 行 监督 检查 的 事项 。 

第 十 九条 ”信息 系统 运营 \ 使 用 单位 应 当 接 受 公安 机 关 、 国 家 指定 的 专门 部 门 的 安全 
监督 检查、 指导 ,如 实 向 公安 机 关 、 国 家 指定 的 专门 部 门 提供 下 列 有 关 信 息 安 全 保护 的 信 
息 资料 及 数据 文件 : 

(一 ) 信息 系统 备案 事项 变更 情况 ; 

(二 ) 安全 组 织 、 人 员 的 变动 情况 ; 

(三 ) 信息 安全 管理 制度 .措施 变更 情况 ， 

(四 ) 信息 系统 运行 状况 记录 ; 

(五 ) 运营 、 使 用 单位 及 主管 部 门 定期 对 信息 系统 安全 状况 的 检查 记录 ， 

(六 ) 对 信息 系统 开展 等 级 测评 的 技术 测评 报告 ; 

(七 ) 信息 安全 产品 使 用 的 变更 情况 ; 

( 八 ) 信息 安全 事件 应 急 预 案 , 信 息 安全 事件 应 急 处 置 结果 报告 ; 

( 九 ) 信息 系统 安全 建设 .整改 结 果 报 告 。 

第 二 十 条 ”公安 机 关 检 查 发 现 信 息 系统 安全 保护 状况 不 符合 信息 安全 等 级 保护 有 关 
管理 规范 和 技术 标准 的 ,应 当 向 运营 、 使 用 单位 发 出 整改 通知 。 运 营 、 使 用 单位 应 当 根 据 
整改 通知 要 求 ,按照 管理 规范 和 技术 标准 进行 整改 。 整 改 完成 后 ,应 当 将 整改 报告 向 公安 
机 关 备 案 。 必 要 时 ,公安 机 关 可 以 对 整改 情况 组 织 检查 。 

第 二 十 一 条 ”第 三 级 以 上 信息 系统 应 当选 择 使 用 符合 以 下 条 件 的 信息 安全 产品 : 

(一 ) 产品 研制 ,生产 单位 是 由 中 国 公 民 、 法 人 投资 或 者 国家 投资 或 控股 的 ,在 中 华人 
民 共 和 国境 内 具有 独立 的 法 人 资格 ; 

(二 ) 产品 的 核心 技术 、 关 键 部 件 具 有 我 国 自主 知识 产权 ; 

(三 ) 产品 研制 ,生产 单位 及 其 主要 业务 、 技 术 人 员 无 犯罪 记录 ; 

(四 ) 产品 研制 ,生产 单位 声明 没有 故意 留 有 或 者 设置 漏洞 .后 门 、 木 马 等 程序 和 
功能 ; 

(五 ) 对 国家 安全 ,社会 秩序 公共 利益 不 构成 危害 ; 

(六 ) 对 已 列 人 信息 安全 产品 认证 目录 的 ,应 当 取 得 国家 信息 安全 产品 认证 机 构 颁 发 
的 认证 证 书 。 

第 二 十 二 条 ”第 三 级 以 上 的 信息 系统 应 当选 择 符合 下 列 条 件 的 等 级 保护 测评 机 构 进 
行 测评 : 

(一 ) 在 中 华人 民 共 和 国境 内 注册 成 立 ( 港 澳 台 地 区 除外 ); 
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(二 ) 由 中 国 公民 投资 、 中 国法 人 投资 或 者 国家 投资 的 企 事业 单位 (港澳 台地 区 
除外 ); 

(三 ) 从 事 相关 检测 评估 工作 两 年 以 上 ,无 违法 记录 ; 

(四 ) 工作 人 员 仅 限于 中 国 公民 ; 

(五 ) 法 人 及 主要 业务 、 技 术 人 员 无 犯罪 记录 ; 

(六 ) 使 用 的 技术 装备 ,设施 应 当 符合 本 办 法 对 信息 安全 产品 的 要 求 ; 

(七 ) 具有 完备 的 保密 管理 项 目 管理 .质量 管理 ,人员 管理 和 培训 教育 等 安全 管理 
制度 ; 

( 八 ) 对 国家 安全 、 社 会 秩序 公共 利益 不 构成 威胁 。 

第 二 十 三 条 ”从 事 信息 系统 安全 等 级 测评 的 机 构 , 应 当 履 行 下 列 义 务 : 

(一 ) 遵守 国家 有 关 法 律 法 规 和 技术 标准 ,提供 安全 ,客观 .公正 的 检测 评估 服务 , 保 
证 测评 的 质量 和 效果 ; 

(二 ) 保守 在 测评 活动 中 知悉 的 国家 秘密 、 商 业 秘 密 和 个 人 隐私 ,防范 测评 风险 ; 

(三 ) 对 测评 人 员 进 行 安全 保密 教育 ,与 其 签订 安全 保密 责任 书 , 规 定 应 当 履 行 的 安 
全 保密 义务 和 承担 的 法 律 责任 ,并 负责 检查 落实 。 


第 四 章 ”涉及 国家 秘密 信息 系统 的 分 级 保护 管理 


第 二 十 四 条 ” 涉 密 信息 系统 应 当 依据 国家 信息 安全 等 级 保护 的 基本 要 求 , 按 照 国家 
保密 工作 部 门 有 关 涉 密 信息 系统 分 级 保护 的 管理 规定 和 技术 标准 ,结合 系统 的 实际 情况 
进行 保护 。 非 涉 密 信息 系统 不 得 处 理 国 家 秘密 信息 。 

第 二 十 五 条 ” 涉 密 信息 系统 按照 所 处 理 信息 的 最 高 密级 ,由 低 到 高 分 为 秘密 、 机 密 、 
绝密 三 个 等 级 。 涉 密 信息 系统 建设 使 用 单位 应 当 在 信息 规范 定 密 的 基础 上 ,依据 涉 密 信 
息 系统 分 级 保护 管理 办 法 和 国家 保密 标准 BMB17 一 2006《 涉 及 国家 秘密 的 计算 机 信息 系 
统 分 级 保护 技术 要 求 》 确 定 系统 等 级 。 对 于 包含 多 个 安全 域 的 涉 密 信息 系统 ,各 安全 域 可 
以 分 别 确定 保护 等 级 。 保 密 工作 部 门 和 机 构 应 当 监 督 指导 涉 密 信息 系统 建设 使 用 单位 准 
确 、 合 理 地 进行 系统 定 级 。 

第 二 十 六 条 涉 密 信息 系统 建设 使 用 单位 应 当 将 涉 密 信息 系统 定 级 和 建设 使 用 情况 
及 时 上 报 业 务 主 管 部 门 的 保密 工作 机 构 和 负责 系统 审批 的 保密 工作 部 门 备 案 , 并 接受 保 
密 部 门 的 监督 ,检查 指导。 

第 二 十 七 条 ” 涉 密 信息 系统 建设 使 用 单位 应 当选 择 具有 涉 密集 成 资质 的 单位 承担 或 
者 参与 涉 密 信息 系统 的 设计 与 实施 。 涉 密 信息 系统 建设 使 用 单位 应 当 依 据 涉 密 信息 系统 
分 级 保护 管理 规范 和 技术 标准 ,按照 秘密 、 机 密 、 绝 密 三 级 的 不 同 要 求 , 结 合 系统 实际 进行 
方案 设计 ,实施 分 级 保护 ,其 保护 水 平 总 体 上 不 低 于 国家 信息 安全 等 级 保护 第 三 级 、 第 四 
级 、 第 五 级 的 水 平 。 

第 二 十 八条 ” 涉 密 信息 系统 使 用 的 信息 安全 保密 产品 原则 上 应 当选 用 本 国产 品 ,并 
应 当 通过 国家 保密 局 授权 的 检测 机 构 依 据 有 关 国 家 保密 标准 进行 的 检测 ,通过 检测 的 产 
品 由 国家 保密 局 审核 发 布 目录 。 

第 二 十 九条 涉 密 信息 系统 建设 使 用 单位 在 系统 工程 实施 结束 后 ,应 当 向 保密 工作 
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238 ”部 门 提出 申请 ,由 国家 保密 局 授权 的 系统 测评 机 构 依 据 国 家 保密 标准 BMB22 一 2007《 涉 
及 国家 秘密 的 计算 机 信息 系统 分 级 保护 测评 指南 ), 对 涉 密 信息 系统 进行 安全 保密 测评 。 
涉 密 信息 系统 建设 使 用 单位 在 系统 投入 使 用 前 ,应 当 按照 (涉及 国家 秘密 的 信息 系统 审批 
管理 规定 》, 向 设 区 的 市 级 以 上 保密 工作 部 门 申请 进行 系统 审批 , 涉 密 信息 系统 通过 审批 
后 方 可 投入 使 用 。 已 投入 使 用 的 涉 密 信息 系统 ,其 建设 使 用 单位 在 按照 分 级 保护 要 求 完 
成 系统 整改 后 ,应 当 向 保密 工作 部 门 备案 。 

第 三 十 条 ” 涉 密 信息 系统 建设 使 用 单位 在 申请 系统 审批 或 者 备案 时 ,应 当 提 交 以 下 
材料 : 

(一 ) 系统 设计 、 实 施 方案 及 审查 论证 意见 ; 

(二 ) 系统 承建 单位 资质 证 明 材料 ; 

(三 ) 系统 建设 和 工程 监理 情况 报告 ; 

(四 ) 系统 安全 保密 检测 评估 报告 ; 

(五 ) 系统 安全 保密 组 织 机 构 和 管理 制度 情况 ; 

(六 ) 其 他 有 关 材 料 。 

第 三 十 一 条 ” 涉 密 信息 系统 发 生 涉 密 等 级 、 连 接 范 围 环境 设施 、 主 要 应 用 ,安全 保密 
管理 责任 单位 变更 时 ,其 建设 使 用 单位 应 当 及 时 向 负责 审批 的 保密 工作 部 门 报告 。 保 密 
工作 部 门 应 当 根据 实际 情况 ,决定 是 否 对 其 重新 进行 测评 和 审批 。 

第 三 十 二 条 ” 涉 密 信息 系统 建设 使 用 单位 应 当 依 据 国家 保密 标准 BMB20 一 2007《 涉 
及 国家 秘密 的 信息 系统 分 级 保护 管理 规范 》, 加 强 涉 密 信息 系统 运行 中 的 保密 管理 ,定期 
进行 风险 评估 ,消除 汇 密 隐患 和 漏洞 。 

第 三 十 三 条 ”国家 和 地 方 各 级 保密 工作 部 门 依法 对 各 地 区 、 各 部 门 涉 密 信息 系统 分 
级 保护 工作 实施 监督 管理 ,并 做 好 以 下 工作 : 

(一 ) 指导 、 监 督 和 检查 分 级 保护 工作 的 开展 ; 

(二 ) 指导 涉 密 信息 系统 建设 ,使 用 单位 规范 信息 定 密 , 合 理 确定 系统 保护 等 级 ; 

(三 ) 参与 涉 密 信息 系统 分 级 保护 方案 论证 ,指导 建设 使 用 单位 做 好 保密 设施 的 同步 
规划 设计 ; 

(四 ) 依法 对 涉 密 信息 系统 集成 资质 单位 进行 监督 管理 ; 

(五 ) 严格 进行 系统 测评 和 审批 工作 ,监督 检查 涉 密 信息 系统 建设 使 用 单位 分 级 保护 
管理 制度 和 技术 措施 的 落实 情况 ; 

(六 ) 加 强 涉 密 信息 系统 运行 中 的 保密 监督 检查 。 对 秘密 级 、 机 密级 信息 系统 每 两 年 
至 少 进行 一 次 保密 检查 或 者 系统 测评 ,对 绝密 级 信息 系统 每 年 至 少 进 行 一 次 保密 检查 或 
者 系统 测评 ; 

(七 ) 了 解 掌握 各 级 各 类 涉 密 信息 系统 的 管理 使 用 情况 ,及 时 发 现 和 查处 各 种 违规 违 


第 五 章 ”信息 安全 等 级 保护 的 密码 管理 


第 三 十 四 条 ”国家 密码 管理 部 门 对 信息 安全 等 级 保护 的 密码 实行 分 类 分 级 管理 。 根 
据 被 保护 对 象 在 国家 安全 、 社 会 稳定 \、 经 济 建设 中 的 作用 和 重要 程度 ,被 保护 对 象 的 安全 
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防护 要 求 和 涉 密 程度 ,被 保护 对 象 被 破坏 后 的 危害 程度 以 及 密码 使 用 部 门 的 性 质 等 ,确定 
密码 的 等 级 保护 准则 。 信 息 系统 运营 、 使 用 单位 采用 密码 进行 等 级 保护 的 ,应 当 遵照 4 信 
息 安全 等 级 保护 密码 管理 办 法 》《 信 息 安 全 等 级 保护 商用 密码 技术 要 求 } 等 密码 管理 规定 
和 相关 标准 。 

第 三 十 五 条 ”信息 系统 安全 等 级 保护 中 密码 的 配备 .使 用 和 管理 等 ,应 当 严格 执行 国 
家 密码 管理 的 有 关 规定 。 

第 三 十 六 条 ”信息 系统 运营 ,使 用 单位 应 当 充 分 运用 密码 技术 对 信息 系统 进行 保护 。 
采用 密码 对 涉及 国家 秘密 的 信息 和 信息 系统 进行 保护 的 ,应 报 经 国家 密码 管理 局 审批 , 密 
码 的 设计 、 实 施 、 使 用 .运行 维护 和 日 常 管理 等 ,应 当 按照 国家 密码 管理 有 关 规 定 和 相关 标 
准 执行 ;采用 密码 对 不 涉及 国家 秘密 的 信息 和 信息 系统 进行 保护 的 , 须 遵守 《商用 密码 管 
理 条 例 》 和 密码 分 类 分 级 保护 有 关 规 定 与 相关 标准 ,其 密码 的 配备 使 用 情况 应 当 向 国家 密 
码 管理 机 构 备案 。 

第 三 十 七 条 ”运用 密码 技术 对 信息 系统 进行 系统 等 级 保护 建设 和 整改 的 ,必须 采用 
经 国家 密码 管理 部 门 批 准 使 用 或 者 对 销售 的 密码 产品 进行 安全 保护 ,不 得 采用 国外 引进 
或 者 擅自 研制 的 密码 产品 ;未 经 批准 不 得 采用 含有 加 密 功 能 的 进口 信息 技术 产品 。 

第 三 十 八条 ”信息 系统 中 的 密码 及 密码 设备 的 测评 工作 由 国家 密码 管理 局 认可 的 测 
评 机 构 承 担 , 其 他 任何 部 门 、 单 位 和 个 人 不 得 对 密码 进行 评测 和 监控 。 

第 三 十 九条 ”各 级 密码 管理 部 门 可 以 定期 或 者 不 定期 对 信息 系统 等 级 保护 工作 中 的 
密码 配备 、 使 用 和 管理 情况 进行 检查 和 测评 ,对 重要 涉 密 信息 系统 的 密码 配备 、 使 用 和 管 
理 情况 每 两 年 至 少 进行 一 次 检查 和 测评 。 在 监督 检查 过 程 中 ,发 现存 在 安全 隐患 或 者 违 
反 密 码 管理 相关 规定 或 者 未 达到 密码 相关 标准 要 求 的 ,应 当 按 照 国家 密码 管理 的 相关 规 
定 进行 处 置 。 

第 六 章 法 律 责任 

第 四 十 条 ”第 三 级 以 上 信息 系统 运营 、 使 用 单位 违反 本 办 法 规定 ,有 下 列 行为 之 一 
的 ,由 公安 机 关 、 国 家 保密 工作 部 门 和 国家 密码 工作 管理 部 门 按照 职责 分 工 责令 其 限期 改 
正 ;逾期 不 改正 的 ,给 予 警告 ,并 向 其 上 级 主管 部 门 通报 情况 ,建议 对 其 直接 负责 的 主管 人 
员 和 其 他 直接 责任 人 员 了 予以 处 理 , 并 及 时 反馈 处 理 结果 : 

(一 ) 未 按 本 办 法 规定 备案 .审批 的 ; 

(二 ) 未 按 本 办 法 规定 落实 安全 管理 制度 、 措 施 的 ; 

(三 ) 未 按 本 办 法 规定 开展 系统 安全 状况 检查 的 ; 

(四 ) 未 按 本 办 法 规定 开展 系统 安全 技术 测评 的 ; 

(五 ) 接 到 整改 通知 后 , 拒 不 整改 的 ; 

(六 ) 未 按 本 办 法 规定 选择 使 用 信息 安全 产品 和 测评 机 构 的 ; 

(七 ) 未 按 本 办 法 规定 如 实 提供 有 关 文 件 和 证 明 材料 的 ; 

( 八 ) 违反 保密 管理 规定 的 ; 

( 九 ) 违反 密码 管理 规定 的 ; 

(十 ) 违反 本 办 法 其 他 规定 的 。 
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240 违反 前 款 规定 ,造成 严重 损害 的 ,由 相关 部 门 依 照 有 关 法 律 法 规 予 以 处 理 。 
第 四 十 一 条 ”信息 安全 监管 部 门 及 其 工作 人 员 在 履行 监督 管理 职责 中 ,玩忽 职守 、 滥 
用 职权 、 徇 私 舞 束 的 ,依法 给 予 行 政 处 分 ;构成 犯罪 的 ,依法 追究 刑事 责任 。 


第 七 章 附 则 


第 四 十 二 条 已 运行 信息 系统 的 运营 、 使 用 单位 自 本 办 法 施行 之 日 起 180 日 内 确定 
信息 系统 的 安全 保护 等 级 ;新 建 信息 系统 在 设计 、 规 划 阶段 确定 安全 保护 等 级 。 

第 四 十 三 条 ”本 办 法 所 称 " 以 上 ?包含 本 数 ( 级 ) 。 

第 四 十 四 条 ”本 办 法 自发 布 之 日 起 施行 《信息 安全 等 级 保护 管理 办 法 (试行 )》( 公 通 
字 [2006]7 号 ) 同 时 废止 。 
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